Пропадает доверенный центр сертификации
 

У меня проблема: у нас в сети некоторые пользователи используют защищенные диски. Аутентификация происходит с помощью электронного ключа E-Token. Сертификат доверенного центра хранится на машине пользователя, сертификат самого пользователя, соответственно тоже. В последнее время ко мне начал обращаться один пользователь с такой проблемой: PIN код от ключа принят, а диски не подключились. В результате выяснилось, что из-за того, что в доверенных корневых центрах сертификации пропал сам по себе сертификат. Если импортировать его еще раз, то все начинает работать, даже после перезагрузки работает, но потом, через пару дней возникает та же самая ситуация.....

Возможные причины: я перевел этого пользователя в новый домен (сервер работает под управлением Win 2003 групповая политика почвти не настраивалась) из старого домена (сервер на Win 2000). Миграцию проводил с помощью ADMT v.2

Не могу понять: с чем это может быть связано.....

Проверяй Журнал событий и результат выкладывай сюда.

Ок, а то, что я этот сертификат добавляю под пользователем, а не под админом может повлиять? У всех новых пользователей (именно новых, а не мигрировавших из старого домена) вообще не сохранялись настройки: сетевые диски, ярлыки на рабочем столе, пока я не произвел минимум настроек в групповой политике и обновил параметры групповой политики на пользовательской машине. В следующий раз, когда отвалится отпишу в то, что будет в журнале.

Попробуй добавить сертификат Центра сертификатов не в "user certificate store" but to "Computer account certificate store"
тогда он н икуда не исчезнет.

Я попробую, а можно поподробней: где это в mmc найти, и как это: ("user certificate store" but to "Computer account certificate store") будет выглядеть в русскоязычной версии? (У меня с руссификацией система)

Сорри, у меня проблема с руссификацией.
Попробуй:
1. mmc
2. add-remove snap-in
3. certificates
4. Computer acount. ( у тебя будет что-от вроде пользовательского эккаунта, служебного эккаунта, и компьютерного, всего 3 позицци, надеюсь- разберешься:))))))))

Я знаю, именно там я вижу сертификат после того, как импортирую его. Но потом он пропадает сам у пользователя, причем пропадает не после перезагрузки, а через несколько дней, как было замечено. Я думаю, что дело в групповой политике, но не знаю какой именно параметр в ней нужно настроить, чтобы доверенный центр сертификации не отваливался самопроизвольно. Возможно нужно дать доступ на реестр, но я не уверен.

У одного из пользователей решил проблему таким способом: дал локальные администраторские права на машине его доменной учетной записи, зашел под этим пользователем и установил сертификат доверенного центра, потом зашел под админом и отключил админские права у этой учетной записи. После этих манипуляций все заработало, но обойти так все машины сложно.

Если есть люди, хорошо разбирающиеся в групповой политике, поделитесь своими соображениями на этот счет

У тебя домен или коצпы врежиме станд-алоне?
Если одиночные, то тебе надо запустить скрипт на всех компах , такой примерно:
certutil -addstore -enterprise root RootCA.crt
где RootCA.crt сертификат Доверенного центра.
Если у тебя домен, то на ДК надо в DefaultDomainPolicy импортировать сертификат доверенного центра в
ComputerConfiguration\WindowsSetting\PublicKeyPolicies\TrustedRootCertificationAuthotities

У меня домен, но это новый домен, и групповую политику я почти не настраивал. Предложенное тобой решение возьму на заметку, но от себя могу добавть, что в старом домене до тех пор, пока я не провел миграцию пользователей все работало без этого, т.е сертификат доверенного центра хранился локально у каждого пользователя и все работало.

Еще хотелось бы узнать: сможет ли пользователь ноутбука, находясь у себя дома пользоваться данными, хранящимися на защищенном диске, или такой метод подразумевает полную зависимость от контроллера домена, и работать будет только в корпоративной сети?