Techniquement il n'y a aucune une telle chose comme l'autoenrollment d'utilisateur. Mais il y a des cercles que vous pouvez sauter à travers pour obtenir quelque chose très semblable. Dans la plupart des cas cependant, je constate que vous pouvez partir sans certificats d'utilisateur tout à fait. Voir si ceci fonctionne :
Sur votre serveur de NPS, prendre votre politique de réseau et enlever les utilisateurs groupe de sécurité. Cette politique *only* s'appliquera aux postes de travail.
Créer une autre politique qui est une reproduction de celle ci-dessus, mais ajouter le *only* le groupe de sécurité d'utilisateur. Dans la section d'authentification de PEAP, enlever les cartes à puce et ajouter MS-CHAP v2. Cela permettra l'authentification de mot de passe pour des utilisateurs.
en conclusion, sur les clients, dans les arrangements avancés par PEAP, permettre les certificats et le MS-CHAP v2. Puisque NPS ne permettra pas MS-CHAPv2 pour des comptes d'ordinateur (en raison de la politique de réseau ci-dessus) et NPS l'authentification ne permettra pas certificat pour des comptes d'utilisateur (en raison de la nouvelle politique que nous avons créée) vous obtenez l'effet net des deux arrangements d'authenticaton étant mutuellement - exclusivité, quoiqu'ils tous les deux soient choisis sur le client.
Si tout fonctionne facilement, cela devrait te donner l'effet désiré sans exiger les scénarios méchants de gestion de certificat.