- Сообщений: 20
- Спасибо получено: 0
СЭД казначейства
Пятьдесят оттенков СЭДа
×
Функционирование и эксплуатация Государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" (ГИИС ЭБ).
Хранилище "Локальный компьютер"
- romanchik_rus
-
Автор темы
- Не в сети
Меньше
Больше
25 июнь 2018 03:48 #7688
от romanchik_rus
romanchik_rus создал тему: Хранилище "Локальный компьютер"
Добрый день! под пользователем нет хранилище "Локальный компьютер" - для установки корневого сертификата. Подскажите ветку в реестре на которую дать полные права пользователю чтобы данное хранилище было ему доступно. Давать админиски права пользователю - вариант не верный )
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Gvinpin
-
- Не в сети
Меньше
Больше
- Сообщений: 2047
- Спасибо получено: 272
25 июнь 2018 04:09 #7689
от Gvinpin
______________________________
лучше уже было
Gvinpin ответил в теме Хранилище "Локальный компьютер"
Попробуйте через консоль сертификатов (локальный компьютер) - во вложении.romanchik_rus пишет: Добрый день! под пользователем нет хранилище "Локальный компьютер" - для установки корневого сертификата. Подскажите ветку в реестре на которую дать полные права пользователю чтобы данное хранилище было ему доступно. Давать админиски права пользователю - вариант не верный )
______________________________
лучше уже было
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
-
- Не в сети
- ТОФК
Меньше
Больше
- Сообщений: 2426
- Спасибо получено: 405
25 июнь 2018 06:50 - 25 июнь 2018 06:52 #7692
от Alex_04
"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)
Alex_04 ответил в теме Хранилище "Локальный компьютер"
А через Пуск - Программы - КриптоПро - Сертификаты - Сертификаты (локальный компьютер) - "Доверенные корневые..." и "Промежуточные..." - ПКМ - Импорт - тоже не дает без прав админа? Если "да" - попробуйте на Сертификаты - ПКМ - "Запуск от имени администратора" - и далее по той же схеме.romanchik_rus пишет: под пользователем нет хранилище "Локальный компьютер" - для установки корневого сертификата
"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- two_oceans
-
- Не в сети
Меньше
Больше
- Сообщений: 183
- Спасибо получено: 36
26 июнь 2018 00:12 - 26 июнь 2018 00:18 #7714
от two_oceans
two_oceans ответил в теме Хранилище "Локальный компьютер"
Корневые сертификаты в "локальный компьютер" по идее должен ставить только администратор. Сам, не передоверяя пользователям и не давая для этого админских прав. В идеале - разворачивать через групповую политику на все компьютеры организации, тогда нет нужны везде ходить и выгонять пользователей с мест. И это заведомо правильный ответ.
Обычным пользователям по рукам за установку корневых сертификатор в "локальный компьютер", ведь они могут без проблем поставить в пользовательские корневые сертификаты. Кроме того, в новых версиях Windows похоже есть ограничение на саму остнастку Сертификаты - без админских прав нельзя установить другую область действия, локальный компьютер, в частности. Интересно сработает ли сохраненная под админом остнастка?
Если не брать сертификаты УЦ (которые без контейнера), то без админских прав будут сложности с флагом CRYPT_MACHINE_KEYSET, который как раз нужен для хранилища "Локальный компьютер". подробнее В переводе:
без флага, контейнер создан неадмином - доступен создателю и локальной системе;
без флага, контейнер создан админом - доступен создателю и админам (XP: создателю и локальной системе);
с флагом, контейнер создан неадмином - доступен создателю и локальной системе, если иные права не заданы CryptSetProvParam;
с флагом, контейнер создан админом - доступен создателю и админам (XP: создателю и локальной системе), если иные права не заданы CryptSetProvParam.
Как понимаю, если что-то установить неадмином (в том числе в хранилище "локальный компьютер"), то админам по умолчанию нет доступа. Вообще замечательно потом зайти админом и искать почему не работает.
Обычным пользователям по рукам за установку корневых сертификатор в "локальный компьютер", ведь они могут без проблем поставить в пользовательские корневые сертификаты. Кроме того, в новых версиях Windows похоже есть ограничение на саму остнастку Сертификаты - без админских прав нельзя установить другую область действия, локальный компьютер, в частности. Интересно сработает ли сохраненная под админом остнастка?
Если не брать сертификаты УЦ (которые без контейнера), то без админских прав будут сложности с флагом CRYPT_MACHINE_KEYSET, который как раз нужен для хранилища "Локальный компьютер". подробнее В переводе:
без флага, контейнер создан неадмином - доступен создателю и локальной системе;
без флага, контейнер создан админом - доступен создателю и админам (XP: создателю и локальной системе);
с флагом, контейнер создан неадмином - доступен создателю и локальной системе, если иные права не заданы CryptSetProvParam;
с флагом, контейнер создан админом - доступен создателю и админам (XP: создателю и локальной системе), если иные права не заданы CryptSetProvParam.
Как понимаю, если что-то установить неадмином (в том числе в хранилище "локальный компьютер"), то админам по умолчанию нет доступа. Вообще замечательно потом зайти админом и искать почему не работает.
Чтобы установить безопасность в контейнере, вызовите функцию CryptSetProvParam с флагом PP_KEYSET_SEC_DESCR после создания контейнера. Этот метод позволяет задать дескриптор безопасности в контейнере.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Подробнее...