我们的一个托管服务提供商已将“关闭自动根证书更新”底层注册表项设置为其默认 Windows 安装的一部分。服务器加入我们的域后,我们希望允许服务器运行自动根证书更新。但是,简单地创建一个 GPO 并将“关闭自动根证书更新”设置为“已禁用”实际上并不能将其恢复。是否有某种 GPO 方式可以做到这一点?或者我必须推送一个可以实际翻转设置的脚本吗HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate?
我们正在运行 2012R2 和 2016,如果这很重要的话。但是域功能级别是 2012(出于模糊的兼容性原因,唉)。
答案1
问:但是,仅仅创建一个 GPO 并将“关闭自动根证书更新”设置为“已禁用”实际上并不能将其恢复。是否有某种 GPO 方式可以做到这一点?或者我必须推送一个脚本来实际翻转 HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate 设置?
A:组策略不会直接修改该注册表项/值,因为这不是组策略的工作方式(大多数情况下)。组策略不会直接修改(纹身)注册表设置。
您应该寻找的不是注册表项/值的状态,而是行为是否已更改为您所期望的行为。
请阅读以下链接以获取有关组策略和注册表的更多信息:
https://sdmsoftware.com/gpoguy/whitepapers/understanding-policy-tattooing/