|
Не удалось открыть хранилище сертификатов
Вложений: 2
Возникла необходимость дать пользователю ЭЦП, и тут же была выявлена очень странная ошибка. В оснастке "Сертификаты" невозможно открыть ни один зарегистрированный сертификат. Одни ветки вовсе не открываются ("доверенные отношения на предприятии"), в других (личные, доверенные центры сертификации) сертификаты видны, но при попытке открыть его выводятся следующие сообщения: "не удалось открыть хранилище сертификатов Trust. Отказано в доступе"
http://forum.oszone.net/attachment.p...1&d=1284092349 и http://forum.oszone.net/attachment.p...1&d=1284092346 Причём добавить личный и корневой сертификаты получилось, но опять таки - без возможности просмотра. Работающие с ЭЦП программы, соответсвенно, использовать оные сертификаты не могут. Тем не менее, через у администратора и другого пользователя (был создан для проверки) всё работает нормально Вспомнил, что полгода тому назад переустанавливал на этом компьютере операционную систему. Дабы не настраивать человеку его рабочий стол и всё-всё-всё остальное, его старый профиль (после добавления пользователя) закинул в каталог профилей вместо старого, а потом заменил права на файлы и ключи реестра. Возможно, дело в этом - но в чём именно, понять не могу. "Управление компьютером" смотрел - никаких странных сообщений не заметил. Через procmon от Руссиновича пытался отслеживать, куда процесс mmc ломится - тоже явных ошибок не заметил. Права на каталог пользователя назначал, на ветвь реестра - тоже. В гугль сообщение это вбивал - он ничего по теме не нашёл. P.S. Разумеется, можно создать пользователю новый профиль, но ведь тогда юзверь все мозги выест от того, что у него "вот это стало не так, как было раньше" :) |
El Scorpio, еще раз проверьте разрешения на
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates (и вложенные подразделы). А также на папку \Documents and Settings\имя_учетки\Application Data\Microsoft\SystemCertificates (и вложенные). |
Проверял и перепроверял. И даже владельца менял
Даже выгрузил ветку из одноимённого профиля, созданного ещё после установки системы (который разместил под другим именем), а потом загрузил в используемый. Всё равно. К тому же эти папки и ветки практически пустые. Только в "корневых сертификатах" есть двоичный ключ (скорее всего,*указатель на системную папку) P.S. Для пользовательских профилей при установке в winnt32.sif прописал каталог d:\profiles может ли получиться, что где-нибудь в настройках старый путь остался? |
Апну старую тему.
Проблема актуальна, после перехода в домен и переноса пользовательских настроек с локальных на сетевые, вот таким способом: UDP: На всех машинах где миграция выполнялась выше описанным способом - наблюдается точно такая же проблема у пользователей со стандартными настройками прав пользователей домена. Если дать пользователю права локального администратора - сертификаты фунциклируют нормально. |
Цитата:
|
Спасибо за ссылку, но уже не актуально.
Миграция была выполнена раньше, а сертификаты понадобились только сейчас. UPDATE#4 |
Цитата:
|
Пришлось удалять и заново создавать локальный профиль (c:\documents and settings\) доменного пользователя на данной машине.
|
Читал и не понял, в чем решение ?
|
Dekabryi, наблюдается ли проблема под другой учетной записью?
|
в общем так
есть мандатори роуминг профайл. при первом логоне на ПК, счастье ! все открывается везде есть доступ. при последующих, не открывается не одна https ссылка т.к. нет доступа к промежуточным центрам сертификации (и еще ряду других) но к ROOT и Личным , доступ есть. Удаляем кэш профиля с ПК и все как при первом логоне. Даём права локального админа, счастье не покидает. Но если это все отобрать, то получаем не доступность HTTPS. доступ в реестре на ветку давали, результат = 0. подскажите куда копать ?! забыл добавить что профиль win 7. |
Цитата:
профиль\AppData\Roaming\Microsoft\SystemCertificates (или ее содержимое). |
Petya V4sechkin, Спасибо, буду копать далее!!!!!!!!!!!!!
если есть ещё идеи , пишите !!!!!!!!!!! |
Petya V4sechkin,
не помогло есть стойкое чувство что съезжают какие то переменные . помогайте чем можете, нужна переменная которая участвует в путях хранения локальных сертификатов ! чую что там где то засада , а докопаться не могу ! |
Dekabryi, сделайте лог Process Monitor следующим образом:
|
Petya V4sechkin,
Process Monitor - не запускается под этим пользователем. Вот корень моего зла!  |
Цитата:
Цитата:
|
Petya V4sechkin,
И того мы получим разные переменные. |
Dekabryi, не можете понять?
Procmon открывать через Запуск от имени. А сертификаты или HTTPS-ссылки - от пользователя (текущей учетной записи). Все просто на самом деле. Удачи. |
Petya V4sechkin,
При запуске любой программы из сессии пользователя, при помощи команды RunAS, переменные такие как %username% %profile% и тд. в запущенной программе (с правами админа) и переменные первоначального юзера . Они абсолютно не равны . А вот из таких переменных складывается путь для хранения сертификатов. Вот и получается что какая то переменная "съезжает" |
Dekabryi, да без разницы, какие переменные.
Procmon покажет ACCESS DENIED к соответствующим объектам. |
Попали в аналогичную ситуацию. Только компьютеры под WinXP.
Procmon (запущенный от имени админа) показал ACCESS DENIED к ветке реестра HKU\S-1-5....старыйюзер\Software\Policies\Microsoft, когда я пытался через mmc под юзером посмотреть хранилище сертификатов. По факту, на эту ветку не унаследовались права, присвоенные новому юзеру. Т.е. новый пользователь, которому подключили профиль старого, не имел права даже не чтение этой ветки. При этом на ветку HKU\S-1-5....старыйюзер\Software\Policies\ права необходимые были... Добавил новому юзеру прав на чтение и вуаля - хранилище сертификатов открылось нормально, ссылки https тоже начали октрываться. Как бы еще выяснить, отчего права как положено не унаследовались? |
| Время: 17:04. |
Время: 17:04.
© OSzone.net 2001-