Tpmvscmgr

Mit dem Befehlszeilentool Tpmvscmgr können Benutzer mit Administratoranmeldeinformationen virtuelle TPM-Smartcards auf einem Computer erstellen und löschen. Beispiele für die Verwendung dieses Befehls finden Sie unter Beispiele.

Syntax

Tpmvscmgr create [/quiet] /name <name> /AdminKey {DEFAULT | PROMPT | RANDOM} [/PIN {DEFAULT | PROMPT}] [/PUK {DEFAULT | PROMPT}] [/generate] [/machine <machine name>] [/pinpolicy [policy options]] [/attestation {AIK_AND_CERT | AIK_ONLY}] [/?]

Tpmvscmgr destroy [/quiet] [/instance <device instance ID>] [/machine <machine name>] [/?]

Parameter für den Befehl "Erstellen"

Mit dem Befehl Erstellen werden neue virtuelle Smartcards auf dem System des Benutzers eingerichtet. Es gibt die Instanz-ID der neu erstellten Karte zur späteren Referenz zurück, wenn eine Löschung erforderlich ist. Die Instanz-ID weist das Format ROOT\SMARTCARDREADER\000n auf, wobei n bei 0 beginnt und jedes Mal um 1 erhöht wird, wenn Sie eine neue virtuelle Smartcard erstellen.

Parameter Beschreibung
/Namen Erforderlich. Gibt den Namen der neuen virtuellen Smartcard an.
/AdminKey Gibt den gewünschten Administratorschlüssel an, mit dem die PIN der Karte zurückgesetzt werden kann, wenn der Benutzer die PIN vergisst.
STANDARD Gibt den Standardwert von 010203040506070801020304050607080102030405060708 an.
EINGABEAUFFORDERUNG Fordert den Benutzer auf, einen Wert für den Administratorschlüssel einzugeben.
ZUFÄLLIGE Führt zu einer zufälligen Einstellung für den Administratorschlüssel für eine Karte, die nicht an den Benutzer zurückgegeben wird. Dadurch wird eine Karte erstellt, die mithilfe von Smartcard-Verwaltungstools möglicherweise nicht verwaltet werden kann. Bei der Generierung mit RANDOM wird der Administratorschlüssel auf 48 Hexadezimalzeichen festgelegt.
/PIN Gibt den gewünschten Benutzer-PIN-Wert an.
STANDARD Gibt die Standard-PIN von 12345678 an.
EINGABEAUFFORDERUNG Fordert den Benutzer auf, eine PIN an der Befehlszeile einzugeben. Die PIN muss mindestens acht Zeichen umfassen und kann Ziffern, Zeichen und Sonderzeichen enthalten.
/PUK Gibt den gewünschten PUK-Wert (PIN Unlock Key) an. Der PUK-Wert muss mindestens acht Zeichen umfassen und kann Ziffern, Zeichen und Sonderzeichen enthalten. Wenn der Parameter nicht angegeben wird, wird die Karte ohne PUK erstellt.
STANDARD Gibt den Standard-PUK von 12345678 an.
EINGABEAUFFORDERUNG Fordert den Benutzer auf, ein PUK an der Befehlszeile einzugeben.
/Generieren Generiert die Dateien im Speicher, die für die Funktion der virtuellen Smartcard erforderlich sind. Wenn der Parameter /generate nicht angegeben wird, entspricht dies dem Erstellen einer Karte ohne dieses Dateisystem. Eine Karte ohne Dateisystem kann nur von einem Smartcard-Verwaltungssystem wie Microsoft Configuration Manager verwaltet werden.
/Maschine Hiermit können Sie den Namen eines Remotecomputers angeben, auf dem die virtuelle Smartcard erstellt werden kann. Dies kann nur in einer Domänenumgebung verwendet werden und basiert auf DCOM. Damit der Befehl erfolgreich eine virtuelle Smartcard auf einem anderen Computer erstellen kann, muss der Benutzer, der diesen Befehl ausführt, Mitglied der lokalen Administratorgruppe auf dem Remotecomputer sein.
/pinpolicy Wenn die /pin-Eingabeaufforderung verwendet wird, können Sie mit /pinpolicy die folgenden PIN-Richtlinienoptionen angeben:
minlen< Minimale PIN-Länge>
   Wenn nicht angegeben, ist der Standardwert 8. Die untere Grenze ist 4.
maxlen< Maximale PIN-Länge>
   Wenn nicht angegeben, ist der Standardwert 127. Die Obergrenze ist 127.
Großbuchstaben Kann ZULÄSSIG, UNZULÄSSIG oder ERFORDERLICH sein. Der Standardwert ist ALLOWED.
Kleinbuchstaben Kann ZULÄSSIG, UNZULÄSSIG oder ERFORDERLICH sein. Der Standardwert ist ALLOWED.
Ziffern Kann ZULÄSSIG, UNZULÄSSIG oder ERFORDERLICH sein. Der Standardwert ist ALLOWED.
specialchars Kann ZULÄSSIG, UNZULÄSSIG oder ERFORDERLICH sein. Der Standardwert ist ALLOWED.

Bei Verwendung von /pinpolicy müssen PIN-Zeichen druckbare ASCII-Zeichen sein.
/Bescheinigung Konfiguriert den Nachweis (nur Antragsteller). Dieser Nachweis verwendet ein AIK-Zertifikat (Attestation Identity Key) als Vertrauensanker, um zu bestätigen, dass die virtuellen Smartcardschlüssel und -zertifikate wirklich hardwaregebunden sind. Die Nachweismethoden sind:
AIK_AND_CERT Erstellt eine AIK und ruft ein AIK-Zertifikat von der Microsoft Cloudzertifizierungsstelle (CA) ab. Dies erfordert, dass das Gerät über ein TPM mit einem EK-Zertifikat verfügt. Wenn diese Option angegeben ist und keine Netzwerkkonnektivität besteht, ist es möglich, dass die Erstellung der virtuellen Smartcard fehlschlägt.
AIK_ONLY Erstellt eine AIK, aber kein AIK-Zertifikat.
/? Zeigt die Hilfe zu diesem Befehl an.

Parameter für den Befehl "Destroy"

Der Befehl Destroy löscht eine virtuelle Smartcard sicher von einem Computer.

Warnung

Wenn eine virtuelle Smartcard gelöscht wird, kann sie nicht wiederhergestellt werden.

Parameter Beschreibung
/Instanz Gibt die Instanz-ID der virtuellen Smartcard an, die entfernt werden soll. Die instanceID wurde als Ausgabe von Tpmvscmgr.exe generiert, als die Karte erstellt wurde. Der Parameter /instance ist ein erforderliches Feld für den Befehl Destroy.
/Maschine Hiermit können Sie den Namen eines Remotecomputers angeben, auf dem die virtuelle Smartcard gelöscht wird. Dies kann nur in einer Domänenumgebung verwendet werden und basiert auf DCOM. Damit der Befehl eine virtuelle Smartcard auf einem anderen Computer erfolgreich löschen kann, muss der Benutzer, der diesen Befehl ausführt, Mitglied der lokalen Administratorgruppe auf dem Remotecomputer sein.
/? Zeigt die Hilfe zu diesem Befehl an.

Hinweise

Die Mitgliedschaft in der Gruppe Administratoren (oder einer entsprechenden Gruppe) auf dem Zielcomputer ist mindestens erforderlich, um alle Parameter dieses Befehls auszuführen.

Für alphanumerische Eingaben ist der vollständige ASCII-Satz mit 127 Zeichen zulässig.

Beispiele

Der folgende Befehl zeigt, wie Sie eine virtuelle Smartcard erstellen, die später von einem Smartcardverwaltungstool verwaltet werden kann, das von einem anderen Computer gestartet wird.

tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey DEFAULT /PIN PROMPT

Alternativ können Sie anstelle eines Standardadministratorschlüssels einen Administratorschlüssel über die Befehlszeile erstellen. Der folgende Befehl zeigt, wie Sie einen Administratorschlüssel erstellen.

tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey PROMPT /PIN PROMPT

Der folgende Befehl erstellt die nicht verwaltete virtuelle Smartcard, die zum Registrieren von Zertifikaten verwendet werden kann.

tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey RANDOM /PIN PROMPT /generate

Mit dem obigen Befehl wird eine virtuelle Smartcard mit einem zufälligen Administratorschlüssel erstellt. Der Schlüssel wird automatisch verworfen, nachdem die Karte erstellt wurde. Dies bedeutet, dass der Benutzer, wenn er die PIN vergisst oder die PIN ändern möchte, die Karte löschen und erneut erstellen muss. Um die Karte zu löschen, kann der Benutzer den folgenden Befehl ausführen.

tpmvscmgr.exe destroy /instance <instance ID>

Instanz-ID <> ist der Wert, der auf dem Bildschirm angezeigt wird, als der Benutzer die Karte erstellt hat. Insbesondere für die erste erstellte Karte lautet die Instanz-ID ROOT\SMARTCARDREADER\0000.

Der folgende Befehl erstellt eine virtuelle TPM-Smartcard mit dem Standardwert für den Administratorschlüssel und einer angegebenen PIN-Richtlinie und Nachweismethode:

tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /PIN PROMPT /pinpolicy minlen 4 maxlen 8 /AdminKey DEFAULT /attestation AIK_AND_CERT /generate

Weitere Referenzen