Trueth
08-10-2015, 21:25
Добрый день!
Случилась следующая проблема - создавал батник для того, что бы импортировать личный и корневой сертификат через планировщик заданий.
Выглядит он вот так
certutil -addstore -f Root "\\172.16.30.2\netlogon\certificates\TrustedCA.der"
certutil -user -f -p "12155787987846545315318679" -importpfx -f "\\172.16.30.2\netlogon\certificates\2015.pfx" NoRoot
Штука в том что до вчерашнего дня всё работало, но во вчерашнем дне я пытался решить ошибку при работе с политиками
"не удалось найти ресурс $ string.advanced_enablessl3fallback"
Не знаю повлияли ли советы из этого треда http://answers.microsoft.com/ru-ru/windows/forum/windows8_1-update/%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B0-gpeditmsc/36aa894a-3d53-4c1c-8464-001d9768bd15 (заменял файлы inters adml и admx, сейчас вернул родные) или проблемы начались после обновления системы, суть в том, что сегодня батник уже нифига не работает, а именно пишет следующее
C:\windows>certutil -addstore -f Root "\\172.16.30.2\netlogon\certificates\TrustedCA.der" для использования выбранных параметров необходимо разрешение администратора. Для выполнения этих задач запустите сеанс командной строки с правами администратора.
root
Не удалось открыть хранилище сертификатов.
Certutil: -addstore команда НЕ ВЫПОЛНЕНА: 0x80070005 <WIN32: 5>
Certutil: Отказано в доступе
Личный сертификат добавляется успешно. Это только часть проблемы, данный батник не работает даже из под учетки админа домена! Но если запустить от имени администратора то выполняет всё как надо!
Капая дальше я обнаружил что имеет место вообще проблема запуска например инсталяторов программ из под обычной учётки, при выборе "запуск от имени админа" тоже отказ!, эта проблема решилась только выставлением параметров в политике Default Domain Policy, а именно
Контроль учетных записей: включение режима одобрения администратором = включен
Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав = включено
Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав = включено
Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором = Запрос согласия для сторонних двоичных файлов (не Windows)
Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей =запрос учетных данных
После этого решилась проблема с exe файлами, но не с сертификатами!
Собственно я так понимаю что то навернулось именно в этом разделе ГПО, вопрос состоит в том с какого перепуга и что делать? Сравниваю Параметры безопасности на ПК не в домене и на ПК в домене и настройки остальные совпадают.
Случилась следующая проблема - создавал батник для того, что бы импортировать личный и корневой сертификат через планировщик заданий.
Выглядит он вот так
certutil -addstore -f Root "\\172.16.30.2\netlogon\certificates\TrustedCA.der"
certutil -user -f -p "12155787987846545315318679" -importpfx -f "\\172.16.30.2\netlogon\certificates\2015.pfx" NoRoot
Штука в том что до вчерашнего дня всё работало, но во вчерашнем дне я пытался решить ошибку при работе с политиками
"не удалось найти ресурс $ string.advanced_enablessl3fallback"
Не знаю повлияли ли советы из этого треда http://answers.microsoft.com/ru-ru/windows/forum/windows8_1-update/%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B0-gpeditmsc/36aa894a-3d53-4c1c-8464-001d9768bd15 (заменял файлы inters adml и admx, сейчас вернул родные) или проблемы начались после обновления системы, суть в том, что сегодня батник уже нифига не работает, а именно пишет следующее
C:\windows>certutil -addstore -f Root "\\172.16.30.2\netlogon\certificates\TrustedCA.der" для использования выбранных параметров необходимо разрешение администратора. Для выполнения этих задач запустите сеанс командной строки с правами администратора.
root
Не удалось открыть хранилище сертификатов.
Certutil: -addstore команда НЕ ВЫПОЛНЕНА: 0x80070005 <WIN32: 5>
Certutil: Отказано в доступе
Личный сертификат добавляется успешно. Это только часть проблемы, данный батник не работает даже из под учетки админа домена! Но если запустить от имени администратора то выполняет всё как надо!
Капая дальше я обнаружил что имеет место вообще проблема запуска например инсталяторов программ из под обычной учётки, при выборе "запуск от имени админа" тоже отказ!, эта проблема решилась только выставлением параметров в политике Default Domain Policy, а именно
Контроль учетных записей: включение режима одобрения администратором = включен
Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав = включено
Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав = включено
Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором = Запрос согласия для сторонних двоичных файлов (не Windows)
Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей =запрос учетных данных
После этого решилась проблема с exe файлами, но не с сертификатами!
Собственно я так понимаю что то навернулось именно в этом разделе ГПО, вопрос состоит в том с какого перепуга и что делать? Сравниваю Параметры безопасности на ПК не в домене и на ПК в домене и настройки остальные совпадают.