Rejestrowanie kart inteligentnych dla użytkowników innych niż administratorzy
Jeśli użytkownik nie jest administratorem lokalnym na swoim komputerze, domyślnie nie może zarejestrować karty inteligentnej na tym komputerze. Poniższa procedura umożliwia obejście tego ograniczenia.
Włączanie funkcji odnawiania kart inteligentnych dla użytkowników innych niż administratorzy w Menedżerze certyfikatów programu MIM 2016
Rozpakowanie pliku appx
Uzyskaj certyfikat podpisywania. Wykonaj kroki podpisywania aplikacji systemu Windows 8 za pomocą wewnętrznej infrastruktury kluczy publicznych. Przerwij po wyświetleniu okna „Podpisywanie aplikacji”. Nadaj nazwę eksportowanemu plikowi pfx. Wyeksportuj również do pliku cer, a następnie zaimportuj go do klienta przy użyciu pliku cer nowego certyfikatu podpisywania.
Uruchom poniższe polecenia, aby rozpakować plik appx:
makeappx unpack /l /p <app package name>.appx /d ./appx
ren <app package name>.appx <app package name>.appx.old
cd appx
Modyfikowanie pliku konfiguracji
Zmień nazwę pliku
CustomDataExample.xml custom.data
. Aplikacja CM będzie szukać tej nazwy pliku.Edytuj plik custom.data i zmodyfikuj następujące elementy:
W elemencie <NonAdmin> zmień wartość atrybutu Value na „True”.
Zapisz plik i zamknij edytor.
Usuń plik o nazwie AppxSignature.p7x.
Edytuj plik o nazwie AppxManifest.xml.
<W elemecie Identity> zmodyfikuj wartość atrybutu Publisher na temat certyfikatu podpisywania, np. "CN=ABCD"
Podmiot w tym elemencie powinien być taki sam jak podmiot w certyfikacie podpisywania używanym do podpisania aplikacji.
Zapisz plik i zamknij edytor.
Ponowne pakowanie i podpisywanie pakietu aplikacji (plik appx)
Uruchom poniższe polecenia, aby zapakować i podpisać plik appx:
cd ..
makeappx pack /l /d .\appx /p <app package name>.appx
signtool sign /f <path\>mysign.pfx /p <pfx password> /fd "sha256" <app package name>.appx
Duplikowanie szablonu profilu i dodawanie początkowego klucza administratora w celu skonfigurowania serwera MIM:
Zaloguj się do portalu zarządzania certyfikatami jako użytkownik z uprawnieniami administracyjnymi.
Przejdź do pozycji Administracja>Zarządzaj szablonami profilów i upewnij się, że pole jest zaznaczone obok utworzonego szablonu profilu, a następnie kliknij pozycję Kopiuj wybrany szablon profilu.
Wpisz nazwę szablonu profilu, dodaj tekst „nonAdmin”, a następnie kliknij przycisk OK.
Gdy pojawią się ustawienia ogólne szablonu profilu, przewiń w dół do końca i w obszarze Konfiguracja karty inteligentnej kliknij przycisk Zmień ustawienia.
W obszarze Wstępna wartość klucza administratora (szesnastkowo) wprowadź domyślny klucz administratora: „010203040506070801020304050607080102030405060708”.
Przewiń w dół i kliknij przycisk OK.
Tworzenie konta bez uprawnień administratora na maszynie klienckiej
Użytkownicy inni niż administratorzy nie mogą utworzyć wirtualnej karty inteligentnej modułu TPM, dlatego należy utworzyć ją dla nich.
Tworzenie wirtualnej karty inteligentnej przy użyciu narzędzia TpmVscMgr
Wykonaj poniższe czynności (wciąż jako administrator), aby utworzyć pustą wirtualną kartę inteligentną na maszynie. Można to zrobić za pośrednictwem usługi Intune, programu SCCM lub zasad grupy.
TpmVscMgr create /name MyVSC /pin default /adminkey default /generate
Instalowanie aplikacji CM na koncie bez uprawnień administratora
Uruchamianie aplikacji CM i rejestrowanie się w celu korzystania z wirtualnej karty inteligentnej