Tpmvscmgr
Warnung
Windows Hello for Business und FIDO2-Sicherheitsschlüssel sind moderne zweistufige Authentifizierungsmethoden für Windows. Kunden, die virtuelle Smartcards verwenden, werden empfohlen, zu Windows Hello for Business oder FIDO2 zu wechseln. Für neue Windows-Installationen empfehlen wir Windows Hello for Business oder FIDO2-Sicherheitsschlüssel.
Mit dem Befehlszeilentool Tpmvscmgr können Benutzer mit Administratoranmeldeinformationen virtuelle TPM-Smartcards auf einem Computer erstellen und löschen. Beispiele für die Verwendung dieses Befehls finden Sie unter Beispiele.
Syntax
Tpmvscmgr create [/quiet] /name <name> /AdminKey {DEFAULT | PROMPT | RANDOM} [/PIN {DEFAULT | PROMPT}] [/PUK {DEFAULT | PROMPT}] [/generate] [/machine <machine name>] [/pinpolicy [policy options]] [/attestation {AIK_AND_CERT | AIK_ONLY}] [/?]
Tpmvscmgr destroy [/quiet] [/instance <device instance ID>] [/machine <machine name>] [/?]
Parameter für den Befehl "Erstellen"
Mit dem Befehl Erstellen werden neue virtuelle Smartcards auf dem System des Benutzers eingerichtet. Er gibt die instance-ID des neu erstellten Karte zur späteren Referenz zurück, wenn ein Löschen erforderlich ist. Die instance-ID hat das FormatROOT\SMARTCARDREADER\000n
, bei dem n bei 0 beginnt und jedes Mal um 1 erhöht wird, wenn Sie eine neue virtuelle intelligente Karte erstellen.
Parameter | Beschreibung |
---|---|
/Namen | Erforderlich. Gibt den Namen des neuen virtuellen intelligenten Karte an. |
/AdminKey | Gibt den gewünschten Administratorschlüssel an, der zum Zurücksetzen der PIN des Karte verwendet werden kann, wenn der Benutzer die PIN vergessen hat. STANDARD Gibt den Standardwert von 010203040506070801020304050607080102030405060708 an. EINGABEAUFFORDERUNG Fordert den Benutzer auf, einen Wert für den Administratorschlüssel einzugeben. ZUFÄLLIGE Führt zu einer zufälligen Einstellung für den Administratorschlüssel für eine Karte, die nicht an den Benutzer zurückgegeben wird. Dadurch wird eine Karte erstellt, die möglicherweise nicht mithilfe von Intelligenten Karte-Verwaltungstools verwaltet werden kann. Bei der Generierung mit RANDOM wird der Administratorschlüssel auf 48 Hexadezimalzeichen festgelegt. |
/PIN | Gibt den gewünschten Benutzer-PIN-Wert an. STANDARD Gibt die Standard-PIN von 12345678 an. EINGABEAUFFORDERUNG Fordert den Benutzer auf, eine PIN an der Befehlszeile einzugeben. Die PIN muss mindestens acht Zeichen umfassen und kann Ziffern, Zeichen und Sonderzeichen enthalten. |
/PUK | Gibt den gewünschten PUK-Wert (PIN Unlock Key) an. Der PUK-Wert muss mindestens acht Zeichen umfassen und kann Ziffern, Zeichen und Sonderzeichen enthalten. Wenn der Parameter nicht angegeben wird, wird die Karte ohne PUK erstellt. STANDARD Gibt den Standard-PUK von 12345678 an. EINGABEAUFFORDERUNG Fordert den Benutzer auf, ein PUK an der Befehlszeile einzugeben. |
/Generieren | Generiert die Dateien im Speicher, die für die Funktion des virtuellen intelligenten Karte erforderlich sind. Wenn der Parameter /generate nicht angegeben wird, entspricht dies dem Erstellen eines Karte ohne dieses Dateisystem. Ein Karte ohne Dateisystem kann nur von einem smarten Karte-Verwaltungssystem wie Microsoft Configuration Manager verwaltet werden. |
/Maschine | Hiermit können Sie den Namen eines Remotecomputers angeben, auf dem die virtuelle intelligente Karte erstellt werden kann. Dies kann nur in einer Domänenumgebung verwendet werden und basiert auf DCOM. Damit der Befehl erfolgreich eine virtuelle intelligente Karte auf einem anderen Computer erstellen kann, muss der Benutzer, der diesen Befehl ausführt, Mitglied der lokalen Administratorgruppe auf dem Remotecomputer sein. |
/pinpolicy | Wenn die /pin-Eingabeaufforderung verwendet wird, können Sie mit /pinpolicy die folgenden PIN-Richtlinienoptionen angeben: minlen<Minimale PIN-Länge> Wenn nicht angegeben, ist der Standardwert 8. Die untere Grenze ist 4. maxlen<Maximale PIN-Länge> Wenn nicht angegeben, ist der Standardwert 127. Die Obergrenze ist 127. Großbuchstaben Kann ZULÄSSIG, UNZULÄSSIG oder ERFORDERLICH sein. Der Standardwert ist ALLOWED. Kleinbuchstaben Kann ZULÄSSIG, UNZULÄSSIG oder ERFORDERLICH sein. Der Standardwert ist ALLOWED. Ziffern Kann ZULÄSSIG, UNZULÄSSIG oder ERFORDERLICH sein. Der Standardwert ist ALLOWED. specialchars Kann ZULÄSSIG, UNZULÄSSIG oder ERFORDERLICH sein. Der Standardwert ist ALLOWED. Bei Verwendung von /pinpolicy müssen PIN-Zeichen druckbare ASCII-Zeichen sein. |
/Bescheinigung | Konfiguriert den Nachweis (nur Antragsteller). Dieser Nachweis verwendet ein AIK-Zertifikat (Attestation Identity Key) als Vertrauensanker, um zu bestätigen, dass die virtuellen Smart Karte Schlüssel und Zertifikate wirklich hardwaregebunden sind. Die Nachweismethoden sind: AIK_AND_CERT Erstellt eine AIK und ruft ein AIK-Zertifikat von der Microsoft Cloud Certification Authority (CA) ab. Dies erfordert, dass das Gerät über ein TPM mit einem EK-Zertifikat verfügt. Wenn diese Option angegeben ist und keine Netzwerkkonnektivität besteht, ist es möglich, dass die Erstellung des virtuellen intelligenten Karte fehlschlägt. AIK_ONLY Erstellt eine AIK, aber kein AIK-Zertifikat. |
/? | Zeigt die Hilfe zu diesem Befehl an. |
Parameter für den Befehl "Destroy"
Der Befehl Destroy löscht eine virtuelle intelligente Karte sicher von einem Computer.
Warnung
Wenn eine virtuelle intelligente Karte gelöscht wird, kann sie nicht wiederhergestellt werden.
Parameter | Beschreibung |
---|---|
/instance | Gibt die instance-ID der virtuellen intelligenten Karte an, die entfernt werden soll. Die instanceID wurde als Ausgabe von Tpmvscmgr.exe generiert, als die Karte erstellt wurde. Der Parameter /instance ist ein Pflichtfeld für den Destroy-Befehl. |
/Maschine | Ermöglicht die Angabe des Namens eines Remotecomputers, auf dem die virtuelle intelligente Karte gelöscht wird. Dies kann nur in einer Domänenumgebung verwendet werden und basiert auf DCOM. Damit der Befehl eine virtuelle intelligente Karte auf einem anderen Computer erfolgreich löschen kann, muss der Benutzer, der diesen Befehl ausführt, Mitglied der lokalen Administratorgruppe auf dem Remotecomputer sein. |
/? | Zeigt die Hilfe zu diesem Befehl an. |
Hinweise
Die Mitgliedschaft in der Gruppe "Administratoren" (oder einer entsprechenden Gruppe) auf dem Zielcomputer ist mindestens erforderlich, um alle Parameter dieses Befehls auszuführen.
Für alphanumerische Eingaben ist der vollständige ASCII-Satz mit 127 Zeichen zulässig.
Beispiele
Der folgende Befehl zeigt, wie Sie eine virtuelle intelligente Karte erstellen, die später von einem smarten Karte Verwaltungstool verwaltet werden kann, das von einem anderen Computer gestartet wird.
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey DEFAULT /PIN PROMPT
Alternativ können Sie anstelle eines Standardadministratorschlüssels einen Administratorschlüssel über die Befehlszeile erstellen. Der folgende Befehl zeigt, wie Sie einen Administratorschlüssel erstellen.
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey PROMPT /PIN PROMPT
Mit dem folgenden Befehl wird die nicht verwaltete virtuelle intelligente Karte erstellt, die zum Registrieren von Zertifikaten verwendet werden kann.
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey RANDOM /PIN PROMPT /generate
Mit dem obigen Befehl wird eine virtuelle intelligente Karte mit einem zufälligen Administratorschlüssel erstellt. Der Schlüssel wird automatisch verworfen, nachdem die Karte erstellt wurde. Dies bedeutet, dass der Benutzer, wenn er die PIN vergisst oder die PIN ändern möchte, die Karte löschen und erneut erstellen muss. Um die Karte zu löschen, kann der Benutzer den folgenden Befehl ausführen.
tpmvscmgr.exe destroy /instance <instance ID>
dabei <ist instance ID> der Wert, der auf dem Bildschirm ausgegeben wurde, als der Benutzer die Karte erstellt hat. Für die erste erstellte Karte lautet die instance-ID ROOT\SMARTCARDREADER\0000.
Der folgende Befehl erstellt eine virtuelle TPM-smarte Karte mit dem Standardwert für den Administratorschlüssel und einer angegebenen PIN-Richtlinie und Nachweismethode:
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /PIN PROMPT /pinpolicy minlen 4 maxlen 8 /AdminKey DEFAULT /attestation AIK_AND_CERT /generate