Bei diesem Szenario tritt dann folgende Administrationsfalle auf. Man konfiguriert dem Nutzer ein Mandatory Profile (obligatorisches Profil), meldet sich mit diesem Nutzer an und prüft natürlich kurz, ob das aktuelle Profil tatsächlich ein Mandatory Profile (obligatorsches Profil) ist:
Ist nun aber die User Personalization eingeschaltet und landet der User in der default Personalization Group, in der die Zertifikats-Verwaltung eingeschaltet ist,
dann fängt der EM-Agent an, dem Windows Betriebssystem vorzugaukeln, dass es sich um ein Roaming Profile (bzw. servergespeichertes Profil) handelt. Dies führt dann zu der folgenden irritierenden Anzeige:
Auf Nachfrage bei unserem zuständigen Channel-SE, bekam ich dann die Antwort, dass dies dem Fakt geschuldet sei, dass Windows die Speicherung von Zertifikaten in auf Mandatory Profiles basierenden Profilen nicht zulässt. Im Administration Guide steht zu diesem Thema folgendes geschrieben:Manage Certificates
Enabled by default. If selected, user certificates can be added to the local certificate store when using a mandatory profile and are managed and therefore are available if a user logs on to another computer.
Also lasst Euch nicht von diesem Verhalten irritieren und spart Euch eine unnötige Fehlersuche...
PS: Das Service Pack 2 für die AppSense Suite 8.0 ist am Wochenende erschienen - Einfach unter www.myappsense.com downloaden.
Posts
1 Kommentar(e):
"... dass Windows die Speicherung von Zertifikaten in auf Mandatory Profiles basierenden Profilen nicht zulässt."
An unsupported workaround via Custom Action [vbs]
Profile State Emulation
When it comes to using mandatory profiles, a significant issue for some administrators is that digital certificates cannot be stored within the profile. An unsupported workaround is to ’emulate’ a roaming profile during the logon process and revert back to a mandatory profile at logoff. This will allow the user to add certificates within their session.
Emulating the profile state can be achieved by changing the value in
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Profilelist\User-SID\State
to ’133’.
When this is applied the operating system believes that the profile in use is a roaming profile. It is then possible to restore the users certificate key settings which can be found in the HKCU registry key.
At user logoff these keys can be saved out again and then the profile state can be restored back to mandatory (256) to avoid the operating system attempting to update the mandatory profile. This can be achieved using an AppSense Environment Manager Custom Action utilizing VBscript capabilities.
Kommentar veröffentlichen