Entrer le nom complet iciEntrer la description iciAutoriser les certificats sans attribut d’utilisation avancée de la cléCe paramètre de stratégie vous permet d’autoriser les certificats ne disposant pas d’un attribut d’utilisation de clé étendue (EKU) pour l’ouverture de session.
Dans les versions Windows antérieures à Windows Vista, l’extension EKU était nécessaire à l’identificateur d’objet pour une ouverture de session par carte à puce. Ce paramètre de stratégie contrôle cette restriction.
Si vous activez ce paramètre de stratégie, il est possible de tirer parti des certificats possédant les attributs suivants pour ouvrir une session à l'aide d'une carte à puce :
- Certificats sans extension EKU
- Certificats avec une extension EKU universelle
- Certificats avec une extension EKU d'authentification client.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, seuls les certificats contenant l’identificateur d’objet pour une ouverture de session par carte à puce autorisent l'ouverture d'une session avec une carte à puce.Autoriser l’affichage de l’écran de déblocage intégré lors de l’ouverture de sessionCe paramètre de stratégie vous permet de déterminer si la fonctionnalité de déblocage intégré est disponible dans l’interface utilisateur d’ouverture de session.
Pour permettre l’utilisation du déblocage intégré, votre carte à puce doit prendre en charge cette fonctionnalité. Renseignez-vous auprès du fabricant de votre matériel pour savoir si votre carte à puce prend en charge cette fonctionnalité.
Si vous activez ce paramètre de stratégie, la fonctionnalité de déblocage intégré est disponible.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, la fonctionnalité de déblocage intégré n’est pas disponible.Autoriser les clés de signature valide pour l’ouverture de sessionCe paramètre de stratégie vous permet d’autoriser l’énumération et l’utilisation de certificats basés sur des clés de signature pour l’ouverture de session.
Si vous activez ce paramètre de stratégie, les certificats basés sur des clés de signature pour carte à puce sont listés dans l’écran d’ouverture de session.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, les certificats basés sur des clés de signature pour carte à puce ne sont pas listés dans l’écran d’ouverture de session.Autoriser les certificats dont le délai de validité a expiréCe paramètre de stratégie permet d’afficher les certificats dont le délai de validité a expiré ou qui ne sont pas encore valides.
Dans les versions antérieures de Microsoft Windows, les certificats devaient posséder des informations de date/heure valides et ne devaient pas avoir expiré. Le certificat doit toujours être accepté par le contrôleur de domaine pour être utilisé. Ce paramètre contrôle uniquement l’affichage du certificat sur l’ordinateur client.
Si vous activez ce paramètre de stratégie, les certificats sont listés dans l’écran d’ouverture de session indépendamment de leurs informations de date/heure ou de leur délai de validité.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, les certificats qui ont expiré ou qui ne sont pas encore valides, ne sont pas listés dans l’écran d’ouverture de session.Filtrer les certificats d’ouverture de session dupliquésCe paramètre de stratégie vous permet de configurer l’affichage ou non des certificats d’ouverture de session valides.
Au cours de la période de renouvellement des certificats, un utilisateur peut disposer de plusieurs certificats d’ouverture de session valides émis à partir du même modèle de certificat. Cela peut entraîner une confusion quant au certificat à sélectionner pour l’ouverture de session. Ce comportement se produit généralement lorsqu’un certificat est renouvelé et que l’ancien n’a pas encore expiré. Deux certificats sont considérés identiques s’ils sont émis à partir du même modèle avec la même version principale et s’ils sont destinés au même utilisateur, déterminé par son nom d’utilisateur principal (UPN).
S’il existe plusieurs certificats sur une carte à puce et si cette stratégie est activée, le certificat utilisé pour l’ouverture de session sur Windows 2000, Windows XP et Windows 2003 Server s’affiche. Sinon, le certificat avec la date d’expiration la plus lointaine s’affiche. Remarque : ce paramètre s’applique après la stratégie suivante : « Autoriser les certificats dont le délai de validité a expiré ».
Si vous activez ce paramètre de stratégie ou si vous ne le configurez pas, le filtrage a lieu.
Si vous désactivez ce paramètre de stratégie, le filtrage n’a pas lieu.Activer la propagation de certificat à partir d’une carte à puceCe paramètre de stratégie vous permet de gérer la propagation de certificat lorsqu’une carte à puce est insérée.
Si vous activez ce paramètre de stratégie ou si vous ne le configurez pas, la propagation de certificat se produit lors de l’insertion de la carte à puce.
Si vous désactivez ce paramètre de stratégie, la propagation de certificat n’a pas lieu ; par ailleurs, les certificats ne sont pas accessibles aux applications telles qu’Outlook.Configurer le nettoyage du certificat racineCe paramètre de stratégie vous permet de gérer le comportement du nettoyage des certificats racines. Si vous activez ce paramètre de stratégie, le nettoyage du certificat racine s’exécute en fonction de l’option sélectionnée. Si vous désactivez ce paramètre ou si vous ne le configurez pas, le nettoyage du certificat racine s’exécute lors de la fermeture de session.Activer la propagation de certificat racine à partir d’une carte à puceCe paramètre de stratégie vous permet de gérer la propagation de certificat racine lorsqu’une carte à puce est insérée.
Si vous activez ce paramètre de stratégie ou si vous ne le configurez pas, la propagation de certificat racine se produit lors de l’insertion de la carte à puce. Remarque : pour que ce paramètre de stratégie fonctionne, vous devez également activer le paramètre de stratégie suivant : Activer la propagation de certificat à partir d’une carte à puce.
Si vous désactivez ce paramètre de stratégie, les certificats racines ne sont pas propagés à partir de la carte à puce.Ne pas autoriser le renvoi de codes confidentiels en texte brut par le Gestionnaire d’informations d’identificationCe paramètre de stratégie interdit le renvoi des codes confidentiels en texte brut par le Gestionnaire d’informations d’identification.
Si vous activez ce paramètre de stratégie, alors le Gestionnaire d’informations d’identification ne renvoie pas de code confidentiel en texte brut.
Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, alors le Gestionnaire d’informations d’identification peut renvoyer des codes confidentiels en texte brut.
Remarque : l’activation de ce paramètre de stratégie peut empêcher le fonctionnement de certaines cartes à puce avec Windows. Renseignez-vous auprès du fabricant de votre carte à puce en cas de doute sur l’utilisation de ce paramètre de stratégie.
Forcer la lecture de tous les certificats de la carte à puceCe paramètre de stratégie vous permet de gérer la lecture de tous les certificats de la carte à puce pour l’ouverture de session.
Au cours de l’ouverture de session, par défaut, seul le certificat par défaut de la carte à puce est lu, sauf si cette dernière prend en charge la récupération de tous les certificats dans un seul appel. Ce paramètre force la lecture de tous les certificats de la carte. Cela peut entraîner une baisse des performances dans certaines situations. Contactez le fournisseur de la carte à puce pour déterminer si votre carte à puce, ainsi que le fournisseur de services de chiffrement associé, prend en charge le comportement requis.
Si vous activez ce paramètre, Windows tente de lire tous les certificats de la carte à puce, quel que soit le jeu de fonctionnalités du fournisseur de services de chiffrement.
Si vous désactivez ce paramètre ou si vous ne le configurez pas, Windows tente uniquement de lire le certificat par défaut des cartes qui ne prennent pas en charge la récupération de tous les certificats dans un seul appel. Les certificats autres que le certificat par défaut ne sont pas disponibles pour l’ouverture de session.Afficher un message lorsqu’une carte à puce est bloquéeCe paramètre de stratégie vous permet de gérer le message affiché lorsqu’une carte à puce est bloquée.
Si vous activez ce paramètre de stratégie, le message spécifié est visible par l’utilisateur lors du blocage de la carte à puce. Remarque : Le paramètre de stratégie « Autoriser l’affichage de l’écran de déblocage intégré lors de l’ouverture de session » doit être activé.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le message par défaut est visible par l’utilisateur lors du blocage de la carte à puce, à condition que la fonctionnalité de déblocage intégré soit activée.Inverser le nom du sujet stocké dans un certificat lors de son affichageCe paramètre de stratégie vous permet d’inverser le nom du sujet par rapport à son mode de stockage dans le certificat lorsqu’il est affiché à l’ouverture de session.
Par défaut, le nom d’utilisateur principal est affiché avec le nom commun pour aider les utilisateurs à différencier les certificats. Par exemple, si le sujet du certificat est CN=Utilisateur1, OU=Utilisateurs, DN=exemple, DN=com et si le nom d’utilisateur principal est utilisateur1@example.com, « Utilisateur1 » est affiché avec \« utilisateur1@example.com\. » Si le nom d’utilisateur principal n’est pas présent, le nom du sujet complet est affiché. Ce paramètre contrôle l’apparence du nom du sujet et doit parfois être ajusté en fonction de l’entreprise.
Si vous activez ce paramètre de stratégie, le nom du sujet est inversé.
Si vous désactivez ce paramètre de stratégie, le nom du sujet s’affiche tel qu’il apparaît dans le certificat.Pas de nettoyageNettoyer les certificats lors du retrait de la carte à puceNettoyer les certificats lors de la fermeture de sessionCarte à puceAutoriser l’indication du nom d’utilisateurCe paramètre de stratégie vous permet de déterminer si un champ facultatif doit être affiché durant l’ouverture de session et l’élévation pour autoriser une personne à entrer son nom d’utilisateur et/ou son nom d’utilisateur et domaine (ce qui revient à associer un certificat à l’utilisateur spécifié).
Si vous activez ce paramètre de stratégie, un champ facultatif s’affiche pour que la personne puisse entrer son nom d’utilisateur et/ou son nom d’utilisateur et domaine.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, aucun champ facultatif ne s’affiche pour permettre à une personne d’entrer son nom d’utilisateur et/ou son nom d’utilisateur et domaine.Activer le service Plug-and-Play de la carte à puceCe paramètre de stratégie permet de contrôler le fonctionnement du service Plug-and-Play de la carte à puce.
Si vous activez ou ne configurez pas ce paramètre de stratégie, le service Plug-and-Play de la carte à puce est activé et le système essaiera d'installer un pilote de périphérique pour la carte à puce la première fois qu'une carte sera insérée dans un lecteur de carte à puce.
Si vous désactivez ce paramètre de stratégie, le service Plug-and-Play de la carte à puce est désactivé et aucun pilote de périphérique ne sera installé en cas d'insertion d'une carte dans un lecteur de carte à puce.
Remarque : ce paramètre de stratégie s'applique uniquement aux cartes à puce conformes au test de qualité WHQL (Windows Hardware Quality Labs).Avertir l'utilisateur en cas d'installation réussie du pilote de la carte à puceCe paramètre de stratégie permet d'afficher ou non un message de confirmation après l'installation du pilote de périphérique d'une carte à puce.
Si vous activez ou ne configurez pas ce paramètre de stratégie, l'installation du pilote de périphérique d'une carte à puce sera confirmée par un message.
Si vous désactivez ce paramètre de stratégie, aucun message de confirmation ne sera affiché en cas d'installation du pilote de périphérique d'une carte à puce.
Remarque : ce paramètre de stratégie s'applique uniquement aux cartes à puce conformes au test de qualité WHQL (Windows Hardware Quality Labs).Autoriser l'utilisation de certificats ECC pour l'ouverture de session et l'authentificationCe paramètre de stratégie vous permet de déterminer si les certificats ECC (chiffrement à courbe elliptique) d'une carte à puce peuvent être utilisés pour se connecter à un domaine.
Si vous activez ce paramètre de stratégie, il est possible de se connecter à un domaine au moyen des certificats ECC d'une carte à puce.
Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, il est impossible de se connecter à un domaine au moyen des certificats ECC d'une carte à puce.
Remarque : ce paramètre de stratégie gère uniquement la connexion à un domaine. Les certificats ECC d'une carte à puce utilisés dans d'autres buts (signature de document, par exemple) ne sont pas concernés par ce paramètre de stratégie.
Remarque : si vous utilisez une clé ECDSA pour établir la connexion, vous devez posséder une clé ECDH associée pour autoriser les ouvertures de session lorsque vous n'êtes pas connecté au réseau.Options de nettoyage du certificat racine