Rutoken и запуск от другого пользователя

Есть рутокен с несколькими сертификатами на нем. AD домен, PKI настроен, по каждому сертификату можно войти на систему-член домена. Однако при попытке выполнить "запуск от имени другого пользователя" и указать сертификат с рутокена ошибка "неверный пользователь или пароль". Запускается только если запустить панель управления и назначить сертификат, который планируется использовать для выполнения запуска от имени, сертификатом по умолчанию. Windows 10, Rutoken drivers 4.2.0.0. Вопрос, это где-то в драйверах ошибка, или это некорректное поведение Windows при запуске от имени? Мне удалось найти, что выполнение runas /smartcard даже в десятке работает только с первым активным носителем и сертификатом по умолчанию. Однако при выполнении "Run as different user" через шифт+правую кнопку Windows видит все сертификаты и предлагает выбрать, от какого пользователя запускать, то есть должна передавать правильный сертификат в модуль аутентификации.

Воспроизводится 100%. Если сертификат не совпадает с сертификатом по умолчанию, запуск от другого пользователя выдает ошибку.

Re: Rutoken и запуск от другого пользователя

Здравствуйте, vesper-bot.

Это особенности Windows.
Попробуйте включить параметр групповой политики Force the reading of all certificates from the smart card (Принудительно считывать со смарт-карты все сертификаты).

Re: Rutoken и запуск от другого пользователя

Здравствуйте, Ксения.

Я включил этот параметр, потом ещё потестировал. Нашел следующее: Если напротив сертификата в панели управления Рутокен стоит галка "зарегистрирован", запуск от другого пользователя отрабатывает без проблем. Если её нет, вылетает ошибка. Пока ещё мне не удалось понять, как именно ставится и снимается эта галка, но перезапуск службы смарт-карт все галки снял. Я правильно понимаю, что регистрация сертификата заполняет хранилище сертификатов Personal учетной записи пользователя, запустившего панель управления Рутокен?

Что интересно, я сейчас отключил эту политику и проверил ещё раз - как и ожидалось, запуск отработал, если сертификат был зарегистрирован.

Тогда вопрос - как обеспечить, чтобы все сертификаты с рутокена были зарегистрированы при повторном подключении рутокена к системе?

Re: Rutoken и запуск от другого пользователя

Флаг "Зарегистрирован" означает установку сертификата в хранилище "Личное".
За автоматическую установку сертификатов отвечает Служба распространения сертификатов (Certificate Propagation Service).

Re: Rutoken и запуск от другого пользователя

Еще по теме: https://forum.rutoken.ru/post/9196/#p9196