|
Перестали запускаться bat, проблема с правами!
Добрый день!
Случилась следующая проблема - создавал батник для того, что бы импортировать личный и корневой сертификат через планировщик заданий. Выглядит он вот так Скрытый текст
certutil -addstore -f Root "\\172.16.30.2\netlogon\certificates\TrustedCA.der"
certutil -user -f -p "12155787987846545315318679" -importpfx -f "\\172.16.30.2\netlogon\certificates\2015.pfx" NoRoot Штука в том что до вчерашнего дня всё работало, но во вчерашнем дне я пытался решить ошибку при работе с политиками Скрытый текст
"не удалось найти ресурс $ string.advanced_enablessl3fallback"
Не знаю повлияли ли советы из этого треда http://answers.microsoft.com/ru-ru/w...4-001d9768bd15 (заменял файлы inters adml и admx, сейчас вернул родные) или проблемы начались после обновления системы, суть в том, что сегодня батник уже нифига не работает, а именно пишет следующее Скрытый текст
C:\windows>certutil -addstore -f Root "\\172.16.30.2\netlogon\certificates\TrustedCA.der" для использования выбранных параметров необходимо разрешение администратора. Для выполнения этих задач запустите сеанс командной строки с правами администратора.
root Не удалось открыть хранилище сертификатов. Certutil: -addstore команда НЕ ВЫПОЛНЕНА: 0x80070005 <WIN32: 5> Certutil: Отказано в доступе Личный сертификат добавляется успешно. Это только часть проблемы, данный батник не работает даже из под учетки админа домена! Но если запустить от имени администратора то выполняет всё как надо! Капая дальше я обнаружил что имеет место вообще проблема запуска например инсталяторов программ из под обычной учётки, при выборе "запуск от имени админа" тоже отказ!, эта проблема решилась только выставлением параметров в политике Default Domain Policy, а именно Скрытый текст
Контроль учетных записей: включение режима одобрения администратором = включен
Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав = включено Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав = включено Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором = Запрос согласия для сторонних двоичных файлов (не Windows) Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей =запрос учетных данных После этого решилась проблема с exe файлами, но не с сертификатами! Собственно я так понимаю что то навернулось именно в этом разделе ГПО, вопрос состоит в том с какого перепуга и что делать? Сравниваю Параметры безопасности на ПК не в домене и на ПК в домене и настройки остальные совпадают. |
Цитата:
По поводу проблемы с запуском батника - у вас UAC включен на ПК? |
Цитата:
|
cameron, личные сертификаты кроме как через bat и vbs скрипты я не нашел как раздавать. Хотя в данной ситуации почему то именно он раздаётся, а до корневого докопалось. Ну и не уверен что на XP проканает.
dahiko, у меня всё вот так настроено https://technet.microsoft.com/ru-ru/library/dd835564, не знаю как оно в режиме "не определено" в политике на серваке было... |
Меня на самом деле волнует вопрос какого черта вдруг перестал скрипт работать, в принципе я его чуть изменил и он работает.
В итоге исправленный скрипт пихает серт не в тот контейнер, но через политики открытого ключа всё работает как надо и ладно. |
| Время: 21:48. |
Время: 21:48.
© OSzone.net 2001-