Ich bin neu im IT-Bereich und kenne mich leider mit Zertifikaten, Gruppenrichtlinien und ähnlichem gar nicht aus...
Nun habe ich aber für unsere Domäne ein PowerShell Skript geschrieben, welches ich (denke ich) über die GPO verteilen muss.
Das hört sich ja eigentlich ziemlich einfach an, jedoch wird hier das Zertifikat an Clientcomputer verteilt.
Daher nun meine Frage:
Kann ich diese Zertifikate auch an die Domänenbenutzer verteilen, sodass dieser die PowerShell Skripts an jedem Computer ausführen kann, an welchem er sich anmeldet?
Denn wenn ich zum Importieren (Schritt 4) anstelle des Pfades:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für öffentliche Schlüssel\Vertrauenswürdige Stammzertifizierungsstellen
den Pfad benutze:
Benutzerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für öffentliche Schlüssel\
dann gibt es den Ordner Vertrauenswürdige Stammzertifizierungsstellen nicht. Deshalb hatte ich versucht den Ordner Vertrauenswürdige Personen zu importieren.
Leider hat das Ganze wie erwartet nicht funktioniert. Wenn ich mich nun mit einem Client angemeldet habe, so habe ich im MMC (Microsoft Management Console) das Zertifikat im Ordner für Vertrauenswürdige Personen leider nicht gefunden. Auch mit
dir cert:\CurrentUser\TrustetPeople
war das Zertifikat leider nicht zu sehen.
Natürlich habe ich das Gruppenrichtlinienobjekt auch nicht bei den Computern, sondern in Ordner der Domänenbenutzer hinzugefügt, welche das Zertifikat erhalten sollten. Gesehen habe ich dass dann automatisch noch ein Gruppenrichtlinienobjekt im Ordner Gruppenrichtlinienobjekte erzeugt wird und mein hinzugefügtes Objekt wohl nur den Domänenbenutzern zugeordnet wird. Hoffe das habe ich richtig verstanden . Muss ich dieses Objekt dann noch irgendwie woandershin verlinken/zuordnen?
Und weshalb habe ich bei Benutzerkonfigurationen im Ordner Richtlinien für öffentliche Schlüssel nur die 2 Unterordner Organisationsvertrauen und Vertrauenswürdige Personen, ich meine wenn ich mit PowerShell
dir cert:\CurrentUser
eingebe, dann kommen da weitaus mehr als nur 2 Ordner :). 14 um genau zu sein, jedoch sehen ich im MMC SnapIn für Zertifikate für das Benutzerkonto nur 13 Unterordner... Ist schon alles ein wenig verwirrend.
Frage
michi.wtr
Hallo zusammen,
Ich bin neu im IT-Bereich und kenne mich leider mit Zertifikaten, Gruppenrichtlinien und ähnlichem gar nicht aus...
Nun habe ich aber für unsere Domäne ein PowerShell Skript geschrieben, welches ich (denke ich) über die GPO verteilen muss.
Verteilen von Zertifikaten an Clientcomputer mithilfe von Gruppenrichtlinie - Microsoft Docs
Das hört sich ja eigentlich ziemlich einfach an, jedoch wird hier das Zertifikat an Clientcomputer verteilt.
Daher nun meine Frage:
Kann ich diese Zertifikate auch an die Domänenbenutzer verteilen, sodass dieser die PowerShell Skripts an jedem Computer ausführen kann, an welchem er sich anmeldet?
Denn wenn ich zum Importieren (Schritt 4) anstelle des Pfades:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für öffentliche Schlüssel\Vertrauenswürdige Stammzertifizierungsstellen
den Pfad benutze:
Benutzerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für öffentliche Schlüssel\
dann gibt es den Ordner Vertrauenswürdige Stammzertifizierungsstellen nicht. Deshalb hatte ich versucht den Ordner Vertrauenswürdige Personen zu importieren.
Leider hat das Ganze wie erwartet nicht funktioniert. Wenn ich mich nun mit einem Client angemeldet habe, so habe ich im MMC (Microsoft Management Console) das Zertifikat im Ordner für Vertrauenswürdige Personen leider nicht gefunden. Auch mit
dir cert:\CurrentUser\TrustetPeoplewar das Zertifikat leider nicht zu sehen.
Natürlich habe ich das Gruppenrichtlinienobjekt auch nicht bei den Computern, sondern in Ordner der Domänenbenutzer hinzugefügt, welche das Zertifikat erhalten sollten. Gesehen habe ich dass dann automatisch noch ein Gruppenrichtlinienobjekt im Ordner Gruppenrichtlinienobjekte erzeugt wird und mein hinzugefügtes Objekt wohl nur den Domänenbenutzern zugeordnet wird. Hoffe das habe ich richtig verstanden
. Muss ich dieses Objekt dann noch irgendwie woandershin verlinken/zuordnen?
Und weshalb habe ich bei Benutzerkonfigurationen im Ordner Richtlinien für öffentliche Schlüssel nur die 2 Unterordner Organisationsvertrauen und Vertrauenswürdige Personen, ich meine wenn ich mit PowerShell
dir cert:\CurrentUsereingebe, dann kommen da weitaus mehr als nur 2 Ordner :). 14 um genau zu sein, jedoch sehen ich im MMC SnapIn für Zertifikate für das Benutzerkonto nur 13 Unterordner... Ist schon alles ein wenig verwirrend.
Bearbeitet von michi.wtrLink zu diesem Kommentar
Auf anderen Seiten teilen
0 Antworten auf diese Frage
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.