...
5. В открывшемся Редакторе управления групповыми политиками (Group Policy Management Editor) выберите Конфигурация компьютера (Computer Configuration) > Политики (Policies) > Административные шаблоны (Administrative Templates) > Indeed CMRutokenKeyBox > Client .
6. Включите политику Сервер разблокировки смарт-карт (Smart card unlocking server) и укажите её значения:
в параметре URL сервиса (Service URL) укажите ссылку на компонент credprovapi, размещенный на сервере Indeed CMRutokenKeyBox.
https://<FQDN сервера Indeed CM>RutokenKeyBox>/cm/credprovapi
- в параметре Проверять сертификат сервера (Verify server certificate) установите значение Да, если необходимо проводить проверку подлинности сертификата сервера. Установите Нет (значение по умолчанию), если проверку подлинности проводить не требуется.
...
7. Свяжите этот объект политики с группой, членами которой являются рабочие станции пользователей системы Indeed CMРутокен KeyBox.
8. Нажмите Применить (Apply) и выполните обновление политик.
...
Политика применяется к рабочим станциям пользователей. Если политика выключена или не определена, то при offline-разблокировке устройства текст разъяснения в Credential Provider не отображается.
Если политика включена то, при offline-разблокировке устройства в Credential Provider будет отображаться указанный в политике текст разъяснения. Например, контактный телефон администратора Indeed CMРутокен KeyBox.
Credential Providers: Отключить обертку стандартного провайдера смарт-карт (Credential Providers: Disable smart card standard provider wrapping)
...
Настройка разблокировки устройств вне домена Windows
В случае, когда сервер Indeed CM RutokenKeyBox и рабочие станции пользователей находятся вне домена Windows, путь к приложению credprovapi необходимо прописать в реестре каждой клиентской рабочей станции. Для этого создайте файл реестра (.reg) со следующим содержанием:
|
В параметре CredProvAPIURL задайте адрес приложения credprovapi на сервере Indeed CMRutokenKeyBox.
В параметре AdminDetails задайте текст разъяснения для пользователя.
В параметре DisableServerCertivicateChecking установите значение 0 (значение по умолчанию), если необходимо проводить проверку подлинности сертификата сервера Indeed CMRutokenKeyBox. Установите 1 (dword:00000001), если проверку подлинности проводить не требуется.
...
Ниже приведен пример .reg-файла для сервера Indeed CM RutokenKeyBox с именем машины indeedcm rutokenkeybox.demo.local, включенной проверкой подлинности сертификата сервера, отключенным отображением кнопки "Выключить смарт-карту" и включенной опцией разблокировки смарт-карты в отдельном Credential Provider на экране входа в ОС:
Пример:
|