GPO, aby cofnąć „Wyłącz automatyczną aktualizację certyfikatów głównych”?

1

Jeden z naszych dostawców hostingu ustawił klucz rejestru „Wyłącz automatyczną aktualizację certyfikatów głównych” jako część domyślnej instalacji systemu Windows. Gdy serwery dołączą do naszej domeny, chcielibyśmy zezwolić serwerom na uruchamianie automatycznej aktualizacji certyfikatu głównego. Jednak samo utworzenie obiektu zasad grupy i ustawienie „Wyłącz automatyczną aktualizację certyfikatów głównych” na Wyłączone, tak naprawdę nie odwraca tego. Czy jest na to jakiś sposób GPO? Czy też muszę wcisnąć skrypt, który faktycznie zmienia HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdateustawienie?

Prowadzimy 2012R2 i 2016, jeśli to ma znaczenie. Poziom funkcjonalności domeny to 2012 r. (Z niejasnych powodów kompatybilności, westchnienie).

Carlpett
źródło

Odpowiedzi:

0

P: Jednak samo utworzenie obiektu zasad grupy i ustawienie „Wyłącz automatyczną aktualizację certyfikatów głównych” na Wyłączone, tak naprawdę nie odwraca tego. Czy jest na to jakiś sposób GPO? Czy też muszę wcisnąć skrypt, który faktycznie zmienia ustawienie HKLM: \ SOFTWARE \ Policies \ Microsoft \ SystemCertificates \ AuthRoot \ DisableRootAutoUpdate?

Odp .: Zasady grupy nie będą modyfikować bezpośrednio tego klucza / wartości rejestru, ponieważ nie w ten sposób działają zasady grupy (w przeważającej części). Zasady grupy nie modyfikują bezpośrednio ustawień rejestru (tatuażu).

To, czego powinieneś szukać, to nie stan tego klucza / wartości rejestru, ale to, czy zachowanie zmieniło się na pożądane.

Przeczytaj link, aby uzyskać więcej informacji na temat zasad grupy i rejestru:

https://sdmsoftware.com/gpoguy/whitepapers/understanding-policy-tattooing/

joeqwerty
źródło
Dzięki @joeqwerty. Zdaję sobie sprawę z braku tatuażu. Moje pytanie, być może niezbyt jasne, brzmiało: czy istnieje jakaś inna polityka, która bezpośrednio wpłynęła na tę wartość? Ponieważ jest to coś, co nasz dostawca ustawia, zanim jeszcze dołączy do naszej domeny, nie możemy tak naprawdę wpływać na stan początkowy.
carlpett,
Mogą mieć go już zmodyfikowane w obrazie kompilacji lub skrypcie kompilacji (lub czymkolwiek innym, czego używają do wdrażania nowych instancji).
joeqwerty