请在此处输入显示名称 请在此处输入描述 允许使用不带扩展密钥使用证书属性的证书 此策略设置允许您使用设置用于登录的不带扩展密钥用法(EKU)的证书。 在 Windows Vista 之前的 Windows 版本中，用于登录的智能卡证书需要同时包含增强型密钥用法(EKU)扩展和智能卡登录对象标识符。此策略设置可用于修改该限制。 如果启用此策略设置，则具有下列属性的证书也可用于使用智能卡进行登录: - 不带 EKU 的证书 - 带有全部用途 EKU 的证书 - 包含客户端身份验证 EKU 的证书 如果禁用或未配置此策略设置，则只有包含智能卡登录对象标识符的证书才能用于使用智能卡进行登录。 允许在登录时显示“集成的解除锁定”屏幕 此策略设置允许您确定在登录用户界面 (UI) 中是否可以使用集成的解除锁定功能。 为了使用集成的解除锁定功能，您的智能卡必须支持此功能。请与硬件制造商联系，确定智能卡是否支持该功能。 如果启用此策略设置，则可以使用集成的解除锁定功能。 如果禁用或没有配置此策略设置，则不可以使用集成的解除锁定功能。 允许签名密钥对登录有效 此策略设置允许您枚举基于签名密钥的证书并且可用于登录。 如果启用该策略设置，则智能卡上使用唯一密钥签名的所有可用证书将列出在登录屏幕上。 如果禁用或没有配置此策略设置，则任何基于智能卡签名密钥的可用证书都不会在登录屏幕上列出。 允许时间无效的证书 该策略设置允许那些已到期或尚未生效的证书显示用于登录。 在以前版本的 Microsoft Windows 中，要求证书包含有效时间且未到期。为了使用证书，域控制器必须继续接受该证书。该设置只控制客户端计算机上证书的显示。 如果启用此策略设置，则证书将在登录屏幕上列出，而不管这些证书的时间是否无效或其时间有效性是否已过期。 如果禁用或没有配置此策略设置，则已过期或尚未生效的证书将不会在登录屏幕上列出。 筛选重复登录证书 该策略设置允许配置是否显示所有的有效登录证书。 在证书续订期间，用户可以拥有从同一个证书模板颁发的多个有效登录证书。这样可能由于不知选择哪一个证书登录而导致混淆。通常在已续订证书而原证书尚未到期时发生这种行为。如果两个证书使用相同的主版本颁布自相同的模板并且用于相同用户(由其 UPN 决定)，则确定它们是相同的。 如果一个智能卡上有两个或多个“相同”的证书并且启用了该策略，则将显示用于在 Windows 2000、Windows XP 和 Windows 2003 Server 上登录的证书，否则将显示最晚到期的证书。注意: 该设置将随以下策略使用: “允许时间无效的证书” 如果启用或未配置该策略设置，将进行筛选。 如果禁用该策略设置，则不会进行筛选。 启用智能卡中的证书传播 此策略设置允许您管理插入智能卡时发生的证书传播。 如果启用或没有配置此策略设置，则插入智能卡时将发生证书传播。 如果禁用此策略设置，则不会发生证书传播并且证书不能用于应用程序，如 Outlook。 配置根证书清理 此策略设置允许您管理根证书的清理行为。如果启用此策略设置，则会依据选定的选项发生根证书清理。如果禁用或没有配置此设置，则在注销时将发生根证书清理。 启用智能卡中的根证书传播 此策略设置允许您管理插入智能卡时发生的根证书传播。 如果启用或没有配置此策略设置，则插入智能卡时将发生根证书传播。注意: 若要使该策略设置生效，必须启用以下策略设置: 从智能卡启用证书传播。 如果禁用此策略设置，则不会传播智能卡中的根证书。 阻止纯文本 PIN 由凭据管理器返回 使用此策略设置可阻止纯文本 PIN 由凭据管理器返回。 如果启用此策略设置，则凭据管理器将不返回纯文本 PIN。 如果禁用或未配置此策略设置，则凭据管理器可以返回纯文本 PIN。 注意: 启用此策略设置可能会阻止某些智能卡在 Windows 上运行。 请咨询智能卡制造商以了解您是否会受此策略设置的影响。 强制从智能卡读取所有证书 该策略设置允许管理从智能卡读取所有证书用于登录。 登录期间，Windows 默认情况下只从智能卡读取默认证书，除非它支持在一个调用中检索所有证书。该设置强制 Windows 从智能卡读取所有证书。这样会导致在某些情况下显著的性能降低。请与智能卡供应商联系，确定智能卡和关联的 CSP 是否支持所需行为。 如果启用该设置，则 Windows 将尝试从智能卡读取所有证书而不管 CSP 的功能集。 如果禁用或未配置该设置，Windows 将只尝试从那些不支持在一个调用中检索所有证书的智能卡读取默认证书。只有默认证书可用于登录。 智能卡被锁定时显示字符串 该策略设置允许当智能卡被阻止时管理显示消息。 如果启用该策略设置，当智能卡被阻止时，将显示给用户指定的消息。注意: 必须启用以下策略设置 - 允许在登录时显示“集成的解除锁定”屏幕。 如果禁用或未配置该策略设置，而且启用集成的解除阻止功能，则在智能卡被阻止时，将向用户显示默认消息。 显示使用者名称时还原存储在证书中的该名称 此策略设置允许您在登录过程中显示使用者名称时根据该名称在证书中的存储方式进行还原。 默认情况下，除公用名外，还将显示用户主体名称 (UPN) 以帮助用户区分证书。例如，如果证书使用者是 CN=User1、OU=Users、DN=example、DN=com 并且 UPN 为 user1@example.com，则“User1”将随“user1@example.com”一起显示。如果没有 UPN，将显示整个使用者名称。此设置控制该使用者名称的外观并且可能需要根据组织进行调整。 如果启用此策略设置或没有配置此设置，将还原使用者名称。 如果禁用此策略设置，则使用者名称将按照在证书中出现的样式显示。 不清理 删除智能卡时清理证书 注销时清理证书 智能卡 允许用户名提示 使用此策略设置可以确定是否显示可选字段，该字段允许用户在登录和提升期间输入用户名或用户名和域，从而将证书与该用户关联起来。 如果启用此策略设置，则将显示允许用户输入其用户名或用户名和域的可选字段。 如果禁用或未配置此策略设置，则不会显示允许用户输入其用户名或用户名和域的可选字段。 打开智能卡即插即用服务 使用此策略设置，可以控制是否启用智能卡即插即用服务。 如果启用或未配置此策略设置，则启用智能卡即插即用服务，并且在首次将智能卡插入智能卡读卡器时，系统将尝试安装智能卡设备驱动程序。 如果禁用此策略设置，则禁用智能卡即插即用服务，并且在将智能卡插入智能卡读卡器时，不会安装设备驱动程序。 注意: 此策略设置仅适用于已通过 Windows 硬件质量实验室(WHQL)测试过程的智能卡。 通知用户成功安装智能卡驱动程序 使用此策略设置，可以控制在安装智能卡设备驱动程序时是否显示确认消息。 如果启用或未配置此策略设置，则在安装智能卡设备驱动程序时将显示确认消息。 如果禁用此策略设置，则在安装智能卡设备驱动程序时不显示确认消息。 注意: 此策略设置仅适用于已通过 Windows 硬件质量实验室(WHQL)测试过程的智能卡。 允许使用 ECC 证书进行登录和身份验证 使用此策略设置，可以控制智能卡上的椭圆曲线加密技术(ECC)证书是否可用于登录到域。 如果禁用此策略设置，则智能卡上的 ECC 证书可用于登录到域。 如果禁用或未配置此策略设置，则智能卡上的 ECC 证书不能用于登录到域。 注意: 此策略设置只影响用户是否能够登录到域。智能卡上用于其他应用程序(如文档签名)的 ECC 证书不受此策略设置的影响。 注意: 如果使用 ECDSA 密钥登录，则必须还要具有相关的 ECDH 密钥才能在未连接到网络时进行登录。 根证书清理选项 智能卡被锁定时显示字符串