Compartilhar via

Permissão de usuário do AD para instalar/Exportar certificados A1

Anônima
2024-10-05T21:50:25+00:00

Tenho um Servidor Windows Server 2016 e Ocorre o seguinte:

Usuário da OU Secretaria não consegue instalar certificados A1 no computador dela, os outros das OU acima coseguem.

A GPO que está no nível da OU VFM-ESCRITÓRIO é para importar certificados com script de logon e funciona em todos. Porém, eu preciso bloquear os usuarios para NÃO INSTALAREM manualmente os certificados ou EXPORTAR. Para manter a segurança destes certificados e evitar que seja copiados, exportados para fins ilíscitos.

"O que não entendi é porquê a usuária da OU SECRETARIA não cosegue instalar e os outros sim, e mesmo vasculhando as permissões não encontrei nada diferente. Abri as propiedades dos usuarios lado a lado e estão todos iguais.

Se me ajudarem a saber "onde encontrar a chave que controla esta ação" eu consigo verificar mais detalhes. Não encontro a opção de bloquear ou liberar nas opções de COMPUTADOR ou USUÁRIO.

Agradeço desde já.

Windows para empresas | Windows Server | Serviços de diretório | Active Directory

Pergunta bloqueada. Essa pergunta foi migrada da Comunidade de Suporte da Microsoft. É possível votar se é útil, mas não é possível adicionar comentários ou respostas ou seguir a pergunta. Para proteger a privacidade, os perfis de usuário para perguntas migradas são anônimos.

0 comentários Sem comentários
{count} votos

4 respostas

Classificar por: Mais útil
  1. Anônima
    2024-10-07T01:26:43+00:00

    Esta resposta foi traduzida automaticamente. Como resultado, pode haver erros gramaticais ou palavras estranhas.

    Olá ArmandoS. Araújo,

    Obrigado por postar nos Fóruns da Comunidade da Microsoft.

    I. Solução de problemas de instalação de certificados

    Verifique o formato e a validade do certificado:

    Certifique-se de que o certificado A1 seja válido e esteja no formato correto. Um arquivo de certificado corrompido ou formatado incorretamente pode causar falha na instalação.

    Verifique a compatibilidade do dispositivo e do sistema operacional:

    Verifique se o hardware do computador do usuário OU SECRETARIAT e o sistema operacional Windows Server 2016 são compatíveis com o certificado.

    Verifique os drivers de hardware:

    Se o certificado A1 exigir um driver de hardware específico, verifique se o driver apropriado está instalado no computador do usuário da SECRETARIA DA UO.

    Verifique as permissões e controles de acesso:

    Mesmo que você tenha mencionado que os atributos do usuário têm a mesma aparência, verifique novamente as permissões de usuário e as configurações de Diretiva de Grupo do usuário OU SECRETARIAT. Verifique se eles têm permissão para instalar certificados.

    Verifique se alguma política de segurança específica ou Políticas de Restrição de Software (SRPs) para usuários da SECRETARIA DA UO impedem que o certificado seja instalado.

    Verifique as configurações de política de grupo:

    Verifique se não há GPOs (Objetos de Política de Grupo) para usuários da SECRETARIA DA UO que definam restrições na instalação do certificado.

    Verifique a Política -> Configurações do Windows em Configuração do Computador e Configuração do Usuário. "Configurações de segurança -> Configurações de política de chave pública e repositório de certificados do sistema em Configuração do computador e Configuração do usuário.

    Verifique o script de logon:

    Se um script de logon for usado para importar o certificado, verifique se o script foi executado corretamente e se não há tratamento especial para usuários da OU SECRETARIAT.

    Impedindo que os usuários instalem ou exportem certificados manualmente

    Use a Diretiva de Grupo para restringir as operações de certificado:

    Você pode impedir que os usuários instalem ou exportem certificados manualmente por meio da Diretiva de Grupo. Em "Configuração do Computador" ou "Configuração do Usuário", encontre "Políticas" -> "Modelos Administrativos" -> "Sistema" -> "Sistema". 「Sistema -> Atribuição de credenciais ou configurações relacionadas.

    Defina a política para impedir que os usuários importem ou exportem certificados.

    Use o Gerenciador de Certificados:

    Você pode usar o Gerenciador de Certificados do Windows (certmgr.msc) para gerenciar certificados e definir direitos de acesso a eles. Certifique-se de que apenas usuários autorizados possam acessar e modificar certificados.

    Use software de segurança de terceiros:

    Considere o uso de software de segurança de terceiros para aprimorar o gerenciamento e a proteção de certificados, incluindo a restrição da importação, exportação e instalação de certificados.

    C. Localizar a chave para controlar as operações de certificado

    No Windows Server 2016, as chaves que controlam a operação de certificados geralmente estão localizadas nas configurações de Política de Grupo e no Gerenciador de Certificados. Você pode localizar e modificar essas configurações por meio do Editor de Diretiva de Grupo (gpedit.msc) e do Gerenciador de Certificados (certmgr.msc).

    Preste atenção especial às configurações em Política -> Configurações do Windows -> Configurações de segurança, que geralmente afetam a importação, exportação e instalação de certificados. Veja a seguir algumas das configurações que podem afetar a importação, exportação e instalação de certificados.

    Atenciosamente

    Neuvi

    1 pessoa achou esta resposta útil.
    0 comentários Sem comentários
  2. Anônima
    2024-10-07T10:56:24+00:00

    Obrigado por responder.

    A maior questão era 'localizar a chave correspondente' para comparar com as OU's afetadas e não afetadas e descobrir o problema.

    Demais detalhes de conta de usuário, permissões eu comparei. Mas vou encontrar nas GPO's a referência que você citou para ver o que está ativo/configurado e fazer os testes.

    Só uma dúvida: "Se eu bloquear o usuário na GPO para operação com certificados, ainda assim os que eu importar no script vão funcionar para ele?"

    0 comentários Sem comentários
  3. Anônima
    2024-10-07T16:48:50+00:00

    Não tem esta opção de "Configurações de segurança -> Configurações de política de chave pública e repositório de certificados do sistema em Configuração do computador e Configuração do usuário."

    Só tem esta opção mas não me parece que tem relação com o problema de

    0 comentários Sem comentários
  4. Anônima
    2024-10-14T01:30:11+00:00

    Boa noite!

    Ainda não encontrei a opção nas políticas.

    0 comentários Sem comentários