Поделиться через

Регистрация смарт-карт для неадминистраторов

Если пользователь не является локальным администратором на своем компьютере, он не сможет зарегистрировать смарт-карту на своих компьютерах по умолчанию. Следующая процедура позволяет обойти это ограничение.

Включение обновления смарт-карт для пользователей, не являющихся администраторами, в диспетчере сертификатов MIM 2016

  1. Распаковка файла appx

    Получите сертификат подписи. Выполните действия, чтобы подписать приложения Windows 8 с помощью внутреннего PKI. Остановитесь, когда дойдете до раздела "Подписать заявку". Назовите экспортируемый PFX-файл. Экспортируйте файл в формате .cer, затем импортируйте его в клиент, используя cer-файл нового сертификата подписи.

    Выполните следующую команду, чтобы распаковывать файл appx:

    makeappx unpack /l /p <app package name>.appx /d ./appx

    ren <app package name>.appx <app package name>.appx.old

    cd appx

  2. Изменение файла конфигурации

    Переименуйте файл с именем CustomDataExample.xml custom.data. Приложение CM будет искать это имя файла.

    Измените файл custom.data и измените следующее:

    1. В элементе <NonAdmin> измените значение атрибута Value на True.

    2. Сохраните файл и выйдите из редактора

    3. Удаление файла с именем AppxSignature.p7x

    4. Изменение файла с именем AppxManifest.xml

    5. В элементе <Identity> измените значение атрибута Publisher на объект вашего сертификата подписи, например, "CN=ABCD".

      Тема должна совпадать с темой в сертификате подписи, который вы используете для подписи приложения.

    6. Сохраните файл и редактор выхода.

  3. Повторно упаковать и подписать пакет приложения (appx-файл)

    Выполните следующую команду, чтобы упаковать и подписать файл appx:

    cd ..

    makeappx pack /l /d .\appx /p <app package name>.appx

    signtool sign /f <path\>mysign.pfx /p <pfx password> /fd "sha256" <app package name>.appx

  4. Дублируйте шаблон профиля и добавьте начальный ключ администратора для настройки сервера MIM:

    1. Войдите на портал CM в качестве пользователя с правами администратора.

    2. Перейдите кшаблонам профилей администрирования> и убедитесь, что флажок установлен рядом с созданным шаблоном профиля, а затем нажмите кнопку "Копировать выбранный шаблон профиля".

    3. Введите имя шаблона профиля, добавьте "nonAdmin" и нажмите кнопку "ОК".

    4. Когда отображаются общие параметры шаблона профиля, прокрутите вниз по всем параметрам и в разделе "Конфигурация смарт-карты" нажмите кнопку "Изменить параметры".

    5. В разделе начальное значение ключа администратора (шестнадцатеричное значение) введите ключ администратора по умолчанию: "010203040506070801020304050607080102030405060708"

    6. Прокрутите вниз и нажмите кнопку "ОК".

  5. Создание учетной записи, отличной от администратора на клиентском компьютере

    Non-admin users can't create the virtual smart card on the TPM, so you have to create it for them.

  6. Создание виртуальной смарт-карты с помощью TpmVscMgr

    Выполните следующие действия (по-прежнему как администратор), чтобы создать пустую виртуальную смарт-карту на компьютере. Это можно сделать с помощью Intune, SCCM или групповых политик.

    TpmVscMgr create /name MyVSC /pin default /adminkey default /generate

  7. Установка приложения CM в учетной записи, отличной от администратора

  8. Запуск приложения CM и регистрация для виртуальной смарт-карты