Zertifikat Berechtigungen ändern mit PowerShell - www.itnator.net

Zertifikat Berechtigungen ändern mit PowerShell

Zertifikate sind in der heutigen Zeit nicht mehr wegzudenken. In Windows gibt es Benutzerzertifikate und Computerzertifikate. Diese werden im Zertifikats Store abgelegt. Wie im Dateisystem gibt es bei Zertifikaten ebenfalls Berechtigungen, die gesetzt werden können. Man kann die Zertifikat Berechtigungen ändern mit PowerShell.

Tumisu / Pixabay

 

Problem mit der Zertifikat Berechtigung

In meinem Fall war es so, dass ein IPsec Zertifikat für eine VPN Verbindung in den Computerzertifikaten hinterlegt war.

Wenn mein Benutzer vor der Windows Anmeldung eine IPsec Verbindung aufbauen möchte, klappt das ohne Probleme, da das Systemkonto Zugriff auf das Computerzertifikat besitzt.

Wenn nun der Benutzer sich vor der Anmeldung nicht verbindet, sondern sich ganz „normal“ am Computer anmeldet wird erstmal das Zertifikat nicht benötigt. Dockt er nun seinen Laptop aus der Docking Station, und möchte dann eine VPN Verbindung aufbauen, hat der User leider keine Leserechte auf das Zertifikat.

Da es im Unternehmen sehr viele Clients sind, kann man nicht bei jedem Benutzer „händisch“ die Berechtigungen setzen. Somit müssen wir bei der Softwareverteilung die Zertifikat Berechtigungen ändern mit PowerShell.

Zertifikat Berechtigung ändern Console

 

Zertifikat Berechtigungen ändern mit PowerShell

Damit nun der „normale“ Benutzer auch Lese Zugriff auf das Zertifikat bekommt, ist nur ein kleines PowerShell Script notwendig. Es gibt allerdings noch ein kleines Problem. Man könnte nun natürlich den Benutzer Berechtigen. Aber was passiert wenn sich ein anderer User am Notebook / Tablet anmeldet? Dann funktioniert es schon wieder nicht. Der Trick ist nun, dass nicht einzelne User berechtigt werden, sondern gleich die AD Gruppe „Domänen-Benutzer„. Somit ist es egal welcher Benutzer sich anmeldet.

In vielen Beiträgen wird geschrieben, dass man „nur“ die Berechtigungen auf Dateiebene („C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys„) verändern muss. Bei mir war das allerdings NICHT ausreichend. Damit das anständig bei mir klappt, muss ebenfalls noch die Berechtigung im Zertifikat Store verändert werden.

(Dieses PowerShell Script sollte nach der Installation der VPN Software, oder generell per Softwareverteilung ausgeführt werden.)

Nach dem Ausführen des PowerShell Scripts, sollten die Domain Users die Leseberechtigung auf die Zertifikate besitzen.

Zertifikat Berechtigung ändern mit PowerShell

 

Ich hoffe wir konnten euch zum Thema „Zertifikat Berechtigungen ändern mit PowerShell“ weiterhelfen und das verständlich erklären. 🙂

Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

Hat dir der Beitrag Zertifikat Berechtigungen ändern mit PowerShell weitergeholfen? 0 comments
sidebar