GPO, aby cofnąć „Wyłącz automatyczną aktualizację certyfikatów głównych”?

Jeden z naszych dostawców hostingu ustawił klucz rejestru „Wyłącz automatyczną aktualizację certyfikatów głównych” jako część domyślnej instalacji systemu Windows. Gdy serwery dołączą do naszej domeny, chcielibyśmy zezwolić serwerom na uruchamianie automatycznej aktualizacji certyfikatu głównego. Jednak samo utworzenie obiektu zasad grupy i ustawienie „Wyłącz automatyczną aktualizację certyfikatów głównych” na Wyłączone, tak naprawdę nie odwraca tego. Czy jest na to jakiś sposób GPO? Czy też muszę wcisnąć skrypt, który faktycznie zmienia HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdateustawienie?

Prowadzimy 2012R2 i 2016, jeśli to ma znaczenie. Poziom funkcjonalności domeny to 2012 r. (Z niejasnych powodów kompatybilności, westchnienie).

P: Jednak samo utworzenie obiektu zasad grupy i ustawienie „Wyłącz automatyczną aktualizację certyfikatów głównych” na Wyłączone, tak naprawdę nie odwraca tego. Czy jest na to jakiś sposób GPO? Czy też muszę wcisnąć skrypt, który faktycznie zmienia ustawienie HKLM: \ SOFTWARE \ Policies \ Microsoft \ SystemCertificates \ AuthRoot \ DisableRootAutoUpdate?

Odp .: Zasady grupy nie będą modyfikować bezpośrednio tego klucza / wartości rejestru, ponieważ nie w ten sposób działają zasady grupy (w przeważającej części). Zasady grupy nie modyfikują bezpośrednio ustawień rejestru (tatuażu).

To, czego powinieneś szukać, to nie stan tego klucza / wartości rejestru, ale to, czy zachowanie zmieniło się na pożądane.

Przeczytaj link, aby uzyskać więcej informacji na temat zasad grupy i rejestru:

https://sdmsoftware.com/gpoguy/whitepapers/understanding-policy-tattooing/