Das Problem war definitiv nicht einfach zu lösen, denn beim Versuch ein Zertifikat im Speicher „Eigene Zertifikate“ zu importieren, kam immer diese Fehlermeldung:

certmgr Zertifikate Fehler beim Importvorgang

Kurioserweise betraf es nur einen bestimmten Active Directory-Benutzer und nur auf einem Gerät, was die Vermutung nahelegte, dass es sich um ein Berechtigungsproblem handeln könnte. Leider half es auch nichts, den Benutzer temporär die Rechte eines lokalen Administrators zuzuweisen. Am Zertifikat selbst konnte es auch nicht liegen, da ein Import im Mozilla Firefox problemlos möglich war. Vielleicht konnte der Powershell-Befehl Import-PfxCertificate zumindest eine genauere Fehlermeldung ausgeben. Siehe da, die Meldung „Unauthorized Access“ half zwar nicht im ersten Schritt weiter, aber zumindest war nun klar, dass der Benutzer „irgendwo“ fehlende Berechtigungen hatte.

Somit verblieb nur noch der Weg über den Process Monitor von Sysinterals, um die Hintergründe zu erfahren, weshalb es zu dieser Zugriffsverletzung kam. Hier wurde man schnell fündig, denn der Zugriffsversuch in C:\Users\Benutzername\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates schlug bei einer Datei mit ACCESS DENIED fehl.

processmonitoraccessdeniedcertmgr

Der Benutzer hatte, warum auch immer, keine Berechtigungen für die Datei, bei den anderen im Certificates-Order hingegen schon. Die Lösung war dann schnell umgesetzt, in dem man die Datei-Berechtigungen des Certificates-Ordners für alle untergeordneten Objekte ersetzte. Nun funktionierte auch der Import!

Schreibe einen Kommentar