[研究]mmc 匯入憑證是否要 administrator ? 或只要 administrators 群組中的帳號即可 ?

[研究]mmc 匯入憑證是否要 administrator ? 或只要 administrators 群組中的帳號即可 ?

2025-03-28

取決於憑證存放的位置：

• 使用者憑證存放區 (Current User Store)：只需要目前登入的使用者帳號即可，不需要管理員權限。
• 本機電腦憑證存放區 (Local Computer Store)：需要 Administrators 群組 成員帳號 (不一定要 Administrator 帳號，但需具備管理員權限)。
• 受信任的根憑證授權單位 (Trusted Root Certification Authorities)：若是 使用者憑證存放區 的 受信任的根憑證，則只需要目前登入的使用者權限。

********************************************************************************

根憑證 (Root CA) 和 CA 憑證的存放位置取決於應用場景，一般建議：

1.放在本機電腦憑證存放區 (Local Computer Store)

• 伺服器環境 (Web 伺服器、AD 設定、VPN 等)
• 多使用者系統 (讓所有使用者都能信任相同的 CA 憑證)
• 需要提升安全性與管理性 (避免一般使用者自行更改)

好處：

• 所有本機帳戶都能信任該憑證
• 避免個別使用者自行安裝未授權的根 CA 憑證，提升安全性
• 方便集中管理 (可透過群組原則 GPO 部署)

2.存放在使用者憑證存放區 (Current User Store)

• 僅限特定使用者信任的憑證 (例如，個人 VPN 設定、測試用憑證)
• 無需影響其他使用者 (如共享電腦或多人使用環境)
• 無系統管理權限 (一般使用者無法存取本機電腦憑證存放區)

好處：

• 影響範圍只限該使用者，不影響其他帳戶
• 可用於測試環境，不影響正式系統

 結論

•  企業或正式環境 → 本機電腦憑證存放區 (Local Computer Store)，確保所有使用者都能信任憑證
•  個人或測試用途 → 使用者憑證存放區 (Current User Store)，避免影響系統全域設定
• 如果需要多台電腦統一管理憑證，建議使用 群組原則 (GPO) 部署 CA 憑證至本機電腦憑證存放區，避免手動安裝的不一致問題。

********************************************************************************

【一般使用者畫面】

********************************************************************************

【系統管理員畫面】

(完)