Autorisations par défaut pour les dossiers MachineKeys

Cet article décrit les autorisations par défaut pour les dossiers MachineKeys.

Produit concerné : Windows Server 2003
Numéro de base de connaissances d’origine : 278381

Résumé

Le dossier MachineKeys stocke les clés de paire de certificats pour l’ordinateur et les utilisateurs. Les services de certificats et Internet Explorer utilisent ce dossier. Les autorisations par défaut sur le dossier peuvent être trompeuses lorsque vous tentez de déterminer les autorisations minimales nécessaires pour une installation appropriée et l’accès aux certificats.

Autorisations par défaut pour le dossier MachineKeys

Le dossier MachineKeys se trouve sous le All Users Profile\Application Data\Microsoft\Crypto\RSA dossier. Si l’administrateur n’a pas défini le dossier sur le niveau minimal, un utilisateur peut recevoir les erreurs suivantes lors de la génération d’un certificat de serveur à l’aide d’Internet Information Server (IIS) :

  • Échec de la génération de la demande de certificat
  • Erreur interne du serveur (la clé privée que vous importez peut nécessiter un fournisseur de services de chiffrement qui n’est pas installé sur votre système)

Les paramètres suivants sont les autorisations par défaut pour le dossier MachineKeys :

  • Administrateurs (contrôle total) Ce dossier uniquement
  • Tout le monde (spécial) Ce dossier uniquement

Autorisations pour le groupe Tout le monde

Pour afficher les autorisations spéciales pour le groupe Tout le monde, cliquez avec le bouton droit sur le dossier MachineKeys , sélectionnez Avancé sous l’onglet Sécurité , puis sélectionnez Afficher/Modifier. Les autorisations sont constituées des autorisations suivantes :

  • List Folder/Read Data
  • Lire les attributs
  • Lire les attributs étendus
  • Créer des fichiers/écrire des données
  • Créer des dossiers/ajouter des données
  • Écrire des attributs
  • Écrire des attributs étendus
  • Autorisations de lecture

Activez la case à cocher Réinitialiser les autorisations sur tous les objets enfants et activez la propagation des autorisations héritées . L’administrateur n’a pas le contrôle total sur les objets enfants pour protéger la partie privée d’un utilisateur de la paire de clés. Toutefois, l’administrateur peut toujours supprimer des certificats pour un utilisateur.

Pour plus d’informations, consultez l’article suivant :

Comment définir les autorisations NTFS et les droits d’utilisateur nécessaires pour un serveur web IIS 5.0, IIS 5.1 ou IIS 6.0.