escriba aquí el nombreescriba aquí la descripciónPermitir certificados sin el atributo de certificado de uso mejorado de claveEsta configuración de directiva le permite aceptar certificados sin que se haya establecido un uso mejorado de clave (EKU) para iniciar sesión.
En versiones de Windows anteriores a Windows Vista, los certificados de tarjeta inteligente que se usan para el inicio de sesión requieren una extensión de uso mejorado de clave (EKU) con un identificador de objeto de inicio de sesión de la tarjeta inteligente. Esta configuración de directiva se puede usar para controlar dicha restricción.
Si habilita esta configuración de directiva, los certificados con los siguientes atributos se podrán usar también para el inicio de sesión con una tarjeta inteligente:
- Certificados sin EKU
- Certificados con EKU para todos los propósitos
- Certificados con EKU de autenticación de cliente
Si deshabilita o no define esta configuración de directiva, solo se podrán usar para iniciar sesión con una tarjeta inteligente los certificados que contengan el identificador de objeto de inicio de sesión de la tarjeta inteligente.Permitir que se muestre la pantalla de desbloqueo integrado al iniciar sesiónEsta configuración de directiva le permite determinar si la característica de desbloqueo integrado estará disponible en la interfaz de usuario (UI) de inicio de sesión.
Para poder usar la característica de desbloqueo integrado, la tarjeta inteligente deberá ser compatible con esta característica. Compruebe con el fabricante del hardware si la tarjeta inteligente admite esta característica.
Si habilita esta configuración de directiva, la característica de desbloqueo integrado estará disponible.
Si deshabilita o no establece esta configuración de directiva, la característica de desbloqueo integrado no estará disponible.Permitir claves de firma válidas para iniciar sesiónEsta configuración de directiva le permite aceptar que se muestren los certificados basados en claves de firma y que estén disponibles para iniciar sesión.
Si se habilita esta configuración de directiva, cualquier certificado disponible en la tarjeta inteligente con una clave de firma aparecerá en la lista de la pantalla de inicio de sesión.
Si deshabilita o no establece esta configuración de directiva, en la pantalla de inicio de sesión no se mostrará ningún certificado basado en claves de firma de tarjeta inteligente que esté disponible.Permitir certificados de período no válidoEsta configuración de directiva permite que los certificados caducados o que ya no son válidos aparezcan para el inicio de sesión.
En versiones anteriores de Microsoft Windows, se requería que los certificados contuviesen un periodo de tiempo válido y no estuviesen caducados. Para que pueda usarse, el controlador de dominio debe admitir el certificado. Esta configuración solo controla la presentación del certificado en el equipo cliente.
Si habilita esta configuración de directiva, los certificados se mostrarán en la pantalla de inicio de sesión, independientemente de que tengan un período no válido o de que su validez temporal haya caducado.
Si deshabilita o no establece esta configuración de directiva, en la pantalla de inicio de sesión no se mostrará ningún certificado que haya caducado o que no sea válido.Filtrar certificados de inicio de sesión duplicadosEsta configuración de directiva permite configurar si se presentan todos los certificados de inicio de sesión válidos.
Durante el periodo de renovación del certificado, un usuario puede tener varios certificados de inicio de sesión válidos, emitidos desde la misma plantilla de certificado. Esto puede causar confusión con respecto al certificado que debe seleccionarse para el inicio de sesión. El caso habitual de este comportamiento se da cuando un certificado se renueva y el antiguo aún no ha caducado. Se determina que dos certificados son idénticos si se han emitido de la misma plantilla, con la misma versión principal y para el mismo usuario (determinado por el UPN).
Si hay dos o más certificados "idénticos" en una tarjeta inteligente y esta directiva se habilita, se mostrará el certificado que se usa para el inicio de sesión en Windows 2000, Windows XP y Windows 2003 Server; de lo contrario, se mostrará el certificado con la fecha de caducidad más lejana en el futuro. Nota: esta configuración se aplicará después de la siguiente directiva: "Permitir certificados de periodo no válido"
Si se habilita o no se configura esta configuración de directiva, se realizará el filtrado.
Si se deshabilita esta configuración de directiva, no se realizará el filtrado.Activar propagación de certificados desde la tarjeta inteligenteEsta configuración de directiva le permite administrar la propagación de certificados que tiene lugar cuando se inserta una tarjeta inteligente.
Si habilita o no establece esta configuración de directiva, la propagación de certificados tendrá lugar cuando inserte la tarjeta inteligente.
Si deshabilita esta configuración de directiva, la propagación de certificados no tendrá lugar y los certificados no estarán disponibles para aplicaciones como Outlook.Configurar limpieza de certificados raízEsta configuración de directiva le permite administrar el comportamiento de limpieza de los certificados raíz. Si habilita esta configuración de directiva, la limpieza de certificados raíz se producirá de acuerdo con la opción seleccionada. Si deshabilita o no configura esta opción, la limpieza de certificados raíz se producirá al cerrar sesión.Activar propagación de certificados raíz desde la tarjeta inteligenteEsta configuración de directiva le permite administrar la propagación de certificados raíz que tiene lugar cuando se inserta una tarjeta inteligente.
Si habilita o no establece esta configuración de directiva, la propagación de certificados raíz tendrá lugar cuando inserte la tarjeta inteligente. Nota: para que esta configuración de directiva funcione, debe habilitarse la siguiente configuración de directiva: Activar propagación de certificados desde la tarjeta inteligente.
Si deshabilita esta configuración de directiva, los certificados raíz no se propagarán desde la tarjeta inteligente.Impedir que el administrador de credenciales devuelva PIN de texto simpleEsta configuración de directiva impide que el administrador de credenciales devuelva PIN de texto simple.
Si habilita esta configuración de directiva, el administrador de credenciales no devolverá ningún PIN de texto simple.
Si deshabilita o no establece esta configuración de directiva, el administrador de credenciales podrá devolver PIN de texto simple.
Nota: si habilita esta configuración de directiva, es posible que algunas tarjetas inteligentes no funcionen en Windows. Consulte al fabricante de la tarjeta inteligente si esta configuración de directiva puede afectarle.
Forzar la lectura de todos los certificados desde la tarjeta inteligenteEsta configuración de directiva permite administrar la lectura de todos los certificados desde la tarjeta inteligente para el inicio de sesión.
Durante el inicio de sesión, Windows solo leerá, de forma predeterminada, el certificado predeterminado desde la tarjeta inteligente, a menos que admita la recuperación de todos los certificados en una sola llamada. Esta configuración fuerza a Windows a leer todos los certificados desde la tarjeta. En ciertas situaciones, esto puede crear una notable reducción del rendimiento. Póngase en contacto con el fabricante de la tarjeta inteligente para determinar si ésta y el CSP asociado admiten la comportamiento requerido.
Si se habilita esta configuración, Windows intentará leer todos los certificados desde la tarjeta inteligente, independientemente del conjunto de características del CSP.
Si se deshabilita o no se configura esta configuración, Windows solo intentará leer el certificado predeterminado desde las tarjetas que no admitan la recuperación de todos los certificados en una sola llamada. Solo el certificado predeterminado estará disponible para el inicio de sesión.Mostrar cadena cuando la tarjeta inteligente esté bloqueadaEsta configuración de directiva permite administrar el mensaje que se presenta cuando se bloquea una tarjeta inteligente.
Si se habilita esta configuración de directiva, el mensaje especificado se mostrará al usuario cuando se bloquea la tarjeta inteligente. Nota: deberá habilitarse la configuración de directiva "Permitir que se muestre la pantalla de desbloqueo integrado al iniciar sesión".
Si se deshabilita o no se configura esta configuración de directiva, el mensaje predeterminado se mostrará al usuario cuando se bloquea la tarjeta inteligente, si la característica integrada de desbloqueo está habilitada.Invertir el nombre de sujeto almacenado en un certificado al mostrarloEsta configuración de directiva le permite invertir el nombre de sujeto con respecto a la forma en que está almacenado en el certificado al mostrarlo durante el inicio de sesión.
De forma predeterminada, el nombre principal del usuario (UPN) aparece junto al nombre común para ayudar a los usuarios a distinguir un certificado de otro. Por ejemplo, si el tipo de sujeto del certificado era CN=Usuario1, OU=Usuarios, DN=ejemplo, DN=com, y tenía un UPN de usuario1@ejemplo.com, "Usuario1" aparecerá junto a "usuario1@ejemplo.com". Si el UPN no está presente, se mostrará el nombre de sujeto completo. Esta opción controla la apariencia de dicho nombre de sujeto y puede necesitar un ajuste por organización.
Si habilita esta configuración de directiva o no la establece, el nombre de sujeto se invertirá.
Si la deshabilita, el nombre del sujeto se mostrará tal como aparece en el certificado.Sin limpiezaLimpiar certificados al quitar la tarjeta inteligenteLimpiar certificados al cerrar sesiónTarjeta inteligentePermitir sugerencia de nombre de usuarioEsta configuración de directiva permite determinar si se mostrará un campo opcional durante el inicio de sesión y la elevación, que permita a un usuario escribir su nombre de usuario, o su nombre de usuario y dominio, asociando de esta forma un certificado con este usuario.
Si se habilita esta configuración de directiva, aparecerá un campo opcional que permite a un usuario escribir su nombre de usuario, o su nombre de usuario y dominio.
Si se deshabilita o no se configura esta configuración de directiva, no aparecerá un campo opcional que permita al usuario escribir su nombre de usuario, o su nombre de usuario y dominio.Activar servicio Plug and Play de tarjeta inteligenteEsta configuración de directiva le permite controlar si se habilita el servicio Plug and Play de tarjeta inteligente.
Si habilita o no define esta configuración de directiva, el servicio Plug and Play de tarjeta inteligente quedará habilitado y el sistema intentará instalar un controlador de dispositivo de tarjeta inteligente cuando se inserte una tarjeta inteligente en un lector de tarjetas inteligentes por primera vez.
Si habilita esta configuración de directiva, se deshabilitará el servicio Plug and Play de tarjeta inteligente y no se instalará un controlador de dispositivo cuando se inserte una tarjeta en un lector de tarjetas inteligentes.
Nota: esta configuración de directiva se aplica solo para tarjetas inteligentes que hayan pasado el proceso de prueba WHQL (Windows Hardware Quality Labs, Laboratorios de calidad de hardware de Windows).Notificar al usuario la instalación correcta de controlador de tarjeta inteligenteEsta configuración de directiva le permite controlar si se muestra un mensaje de confirmación cuando se instala un controlador de dispositivo de tarjeta inteligente.
Si habilita o no define esta configuración de directiva, se mostrará un mensaje de confirmación cuando se instale un controlador de dispositivo de tarjeta inteligente.
Si deshabilita esta configuración de directiva, no se mostrará un mensaje de confirmación cuando se instale un controlador de dispositivo de tarjeta inteligente.
Nota: esta configuración de directiva se aplica solo para tarjetas inteligentes que hayan pasado el proceso de prueba WHQL (Windows Hardware Quality Labs, Laboratorios de calidad de hardware de Windows).Permitir que se usen certificados ECC para inicio de sesión y autenticaciónEsta configuración de directiva le permite controlar si se pueden usar certificados ECC (elliptic curve cryptography, criptografía de curva elíptica) de una tarjeta inteligente para iniciar sesión en un dominio.
Si habilita esta configuración de directiva, se podrán usar certificados ECC de una tarjeta inteligente para iniciar sesión en un dominio.
Si deshabilita o no define esta configuración de directiva, no se podrán usar certificados ECC de una tarjeta inteligente para iniciar sesión en un dominio.
Nota: esta configuración de directiva afecta únicamente a la capacidad de un usuario de iniciar sesión en un dominio. Los certificados ECC de una tarjeta inteligente que se usen para otras aplicaciones, como la firma de documentos, no resultarán afectados por esta configuración de directiva.
Nota: si se usa una clave ECDSA para iniciar sesión, es necesario tener también una clave ECDH asociada para permitir inicios de sesión cuando no se está conectado a la red.Opciones de limpieza de certificados raíz