Några viktiga GPO-inställningar för smarta kort

gpo_smartcard_driver_error

För att slippa se Windows försöka hitta drivrutiner för smarta kort som ändå inte finns att tillgå från Windows Update eller för att se till att det bara är Net iD som flyttar certifikat till MyStore finns ett bra ställe att justera på:

gpo_smartcard_path

De två nedersta gulmarkerade inställningarna har med installation av drivrutiner att göra. För vissa kort finns drivrutiner som kan hämtas hem automatiskt men inte för alla. Stäng av dem om meddelandet stör.

De tre inaktiverade i inställningarna på positionerna 5, 6 och 7 stänger av Windows inbyggda certifikatsflyttningsfunktion. Det har visat sig klokt att stänga av dessa då Net iD har en egen funktion för det här.
Windows inbyggda funktion har även den egenheten att den aldrig tar bort certifikat ur MyStore vilket ställer till det mer än lovligt på gruppinloggade datorer.

Läs mer här om motsvarande funktion på XP – KB925884

GPO_smartcard

Den nedre rödmarkerade inställningen ”Tvinga läsning…” har man nytta av att sätta om man har mer än ett certifikat med UPN som man vill ska vara valbart vid Windowsinloggning med kort.

Den översta rödmarkerade inställningen ”Tillåt certifikat utan…” har man nytta av att sätta om man vill logga på Windows med certifikat utan rätt EKU för smartkortinloggning. Läs mer här!

Vill logga på Windows med certifikat som helt saknar UPN. Läs mer här

Vidare finns förstås detta välkända ställe där man styr några basala saker:

gpo_s_alts_path

gpo_req_smartcard_etc