Uživatel nemůže získat přístup k funkci certifikát po změně hesla nebo při použití cestovního profilu

Překlady článku Překlady článku
ID článku: 331333 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Při pokusu uživatele funkce certifikát používat po změnit své heslo nebo použít cestovní profil, jejich ztratit přístup k této funkci certifikátu. Funkce certifikát nemusí fungovat jako předtím zahrnuje následující:
  • Přístup k souborům, které jsou zašifrovány Encrypting File System (EFS)
  • Přístup k zabezpečené webové stránky, která vyžaduje ověřování certifikátů
  • Podepisování e-mailu s Secure/Multipurpose Internet Mail Extensions (S/MIME)
Při pokusu o přístup k zabezpečenému webu, je zaznamenána následující chybová zpráva:
Událost Schannel: 36870
Při pokusu o přístup soukromý klíč klienta pověření SSL došlo k závažné chybě. Kód chyby vrácený z modulu kryptografických je 0x80090016.

Příčina

K tomuto problému dochází, pouze pokud je klient uživatelský účet v doméně systému Microsoft Windows NT 4.0 a pokud jsou přihlášeni k pracovní stanici Microsoft Windows XP Professional. Verze systému Windows XP funkci rozhraní DPAPI (Data Protection API) pomáhá chránit soukromé klíče EFS a další data, který chcete zabezpečit. Funkce obnovení rozhraní DPAPI není podporována pro uživatele, kteří jsou členy domén se systémem Microsoft Windows NT 4.0 a starší.

Řešení

Udržovat přístup klienta k certifikátu funkčnost po uživatelé změnit své heslo nebo při použití cestovních profilů inovovat domény služby Active Directory. Domény služby Active Directory poskytují mechanismus, který pomáhá chránit hlavního klíče rozhraní DPAPI s dvojici veřejného a soukromého klíče. (Rozhraní DPAPI hlavní klíč se používá k ochraně EFS funkce jiných certifikátů a soukromých klíčů.)

V doméně Windows NT 4.0 je schopnost obnovení přístupu k certifikátu klíče a data umístěna na pracovní stanici. Není případ v doméně systému Windows 2000. Protože mechanismus obnovy není umístěn na pracovní stanici, domén systému Windows 2000 poskytují významná další úroveň ochrany pro certifikáty případě fyzicky ohrožení pracovní stanice.

Přestože máte pouze jeden řadič domény využít mechanismus obnovy domény rozhraní DPAPI upgradu, zvažte upgrade alespoň dva řadiče domény pro účely odolnost proti chybám.

Důrazně doporučujeme před jeho implementaci plánu Active Directory. Další informace o návrhu Active Directory naleznete na následujícím webu:
http://technet.microsoft.com/en-us/library/bb727085.aspx

Jak potíže obejít

Tento problém vyřešit, nainstalujte Windows XP Service Pack 1 (SP1) nebo později na klientské pracovní stanice a vytvořte následující položku registru emulovat chování systému Windows 2000.

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které sdělit, jak upravit registr. Po nesprávné úpravě registru však mohou nastat závažné problémy. Postupujte proto pečlivě podle uvedených kroků. Pro zvýšení bezpečnosti registr zálohujte jestě před jeho úpravami. Potom můžete v případě potíží registr obnovit. Další informace o zálohování a obnovení registru naleznete následujícím článku znalostní v databáze Microsoft Knowledge Base:
322756Zálohování a obnovení registru v systému Windows
Proveďte následující kroky a pak ukončete program Editor registru:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedit a klepněte na tlačítko OK.
  2. Vyhledejte následující klíč registru a klikněte na něj:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. V nabídce Úpravy přejděte na příkaz Nový a klepněte na příkaz Hodnota DWORD.
  4. Zadejte MasterKeyLegacyNt4Domain a stiskněte klávesu ENTER.
  5. V nabídce Úpravy klepněte na tlačítko změnit.
  6. Zadejte 1 a potom klepněte na tlačítko OK.
Po vytvoření této položky klienta určit, zda uživatel je členem domény Windows NT 4.0. Pokud jsou člen, bude klient BEZE emulovat chování systému Windows 2000 a rozhraní DPAPI bude uživatelům s přístupem změněné hesla k jejich klíče.

Poznámka: Je-li vyřešit tento problém úpravou registru pouze změnit chování popsané v části Příznaky z času, které provedete v registru změnit. Všechny změny hesla, které byly provedeny před jsou změny v registru není možné vrátit zpět a stále obdržíte chybovou zprávu "přístup odepřen" při otevření souboru EFS

Důsledky důležité zabezpečení

Tato položka registru pomocí podstatně sníží zabezpečení fyzicky narušený počítače. Útočník s fyzickým přístupem k počítači by mohl získat přístup k některé nebo všechny soubory šifrované EFS a všechny soukromé klíče na jeho certifikátu.

Po změně hesla obnovit přístup k souborům

K opětovnému získání přístupu k funkcím certifikát na jednotlivé pracovní stanice po změně hesla, změnit heslo na heslo, která byla použita při poslední šifrované soubory.

Poznámka: Takto změnit pouze heslo, které používáte k přihlášení k počítači. Neměňte jejich hesla domény.
  1. Přihlaste se k počítači jako uživatel s aktuální heslo.
  2. Klepněte na tlačítko Start a potom klepněte na příkaz Ovládací panely.
  3. Poklepejte na panel uživatelské účty.
  4. Klepnutím vyberte uživatelské jméno.
  5. Klepněte na tlačítko Obnovit heslo.
  6. Zadejte původní heslo do textového pole nové heslo a potom zadejte heslo do textového pole Potvrzení nového hesla. Klepněte na tlačítko OK.
  7. Restartujte počítač.

Prohlášení

Toto chování je záměrné.

Další informace

Chování popsané v tomto článku v části "Příznaky" se vztahuje pouze na uživatele, kteří jsou členy domény Windows NT 4.0 a kteří přihlašovat k počítačům spuštění systému Windows XP. Chování klientů Windows XP Professional, které jsou členy pracovní skupiny nebo domény Active Directory systému Windows 2000 se výrazně liší od popisu v tomto článku.

Další informace o rozhraní DPAPI v systému Windows XP naleznete na následujícím webu:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Další informace o řešení problémů rozhraní DPAPI včetně ztráta přístupu nebo soukromý klíč EFS soubory klepněte na následující číslo článku databáze Microsoft Knowledge Base:
309408Odstraňování potíží Data Protection API (rozhraní DPAPI)

Vlastnosti

ID článku: 331333 - Poslední aktualizace: 14. září 2007 - Revize: 4.6
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows XP Professional
Klíčová slova: 
kbmt kbprb KB331333 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:331333

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com