Parece que executar certutil.exe -DCInfo Verify verificará os certificados de todos os controladores de domínio no domínio da conta de usuário que efetuou login .
Na nossa floresta do AD, temos vários domínios. Eu só tenho uma conta única em dois deles, mas tenho permissões administrativas sobre todos eles.
Existe uma maneira de executar o comando para segmentar um domínio diferente daquele em que estou logado ou preciso realmente ter uma conta em cada um deles?
Alternativamente, existe outra maneira de atingir o mesmo objetivo?
certutil funciona no contexto do usuário a partir do qual é chamado.
Parece improvável que você consiga alcançar o que deseja sem uma conta em cada domínio, a menos que consiga representar uma maneira de representar os outros usuários - o que provavelmente exigiria a chamada para a API do Win32. Aqui está uma pergunta SO que pode ajudá-lo se você decidir seguir esse caminho.
O que acontece se você usar psexec para executar o comando certutil.exe em um controlador de domínio pertencente a cada domínio que deseja segmentar usando sua conta de administrador de domínio confiável de outro domínio da floresta? / p>
Como alternativa, você pode usar os privilégios de administrador de seu domínio para criar uma conta svc_certchk em cada domínio?
Depois de se deparar com o mesmo problema, consegui obter as informações de que precisava por meio do Powershell graças ao post de outra pessoa.
Crédito : (link original se ainda estiver online quando você ler isto)
Código:
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store("\dc1\My","LocalMachine")
$store.Open("ReadOnly")
$store.Certificates
Você pode então analisar os objetos de certificado resultantes. Pode haver alguns problemas de acesso para trabalhar, mas tudo funcionou bem para mim no meu ambiente usando uma conta de administrador corporativo em servidores 2003 e 2008.