Возникла необходимость дать пользователю ЭЦП, и тут же была выявлена очень странная ошибка. В оснастке "Сертификаты" невозможно открыть ни один зарегистрированный сертификат. Одни ветки вовсе не открываются ("доверенные отношения на предприятии"), в других (личные, доверенные центры сертификации) сертификаты видны, но при попытке открыть его выводятся следующие сообщения: "не удалось открыть хранилище сертификатов Trust. Отказано в доступе"
http://forum.oszone.net/attachment.php?attachmentid=50986&stc=1&d=1284092349 и http://forum.oszone.net/attachment.php?attachmentid=50987&stc=1&d=1284092346
Причём добавить личный и корневой сертификаты получилось, но опять таки - без возможности просмотра. Работающие с ЭЦП программы, соответсвенно, использовать оные сертификаты не могут.
Тем не менее, через у администратора и другого пользователя (был создан для проверки) всё работает нормально

Вспомнил, что полгода тому назад переустанавливал на этом компьютере операционную систему. Дабы не настраивать человеку его рабочий стол и всё-всё-всё остальное, его старый профиль (после добавления пользователя) закинул в каталог профилей вместо старого, а потом заменил права на файлы и ключи реестра. Возможно, дело в этом - но в чём именно, понять не могу.
"Управление компьютером" смотрел - никаких странных сообщений не заметил. Через procmon от Руссиновича пытался отслеживать, куда процесс mmc ломится - тоже явных ошибок не заметил. Права на каталог пользователя назначал, на ветвь реестра - тоже. В гугль сообщение это вбивал - он ничего по теме не нашёл.

P.S.
Разумеется, можно создать пользователю новый профиль, но ведь тогда юзверь все мозги выест от того, что у него "вот это стало не так, как было раньше" :)

El Scorpio, еще раз проверьте разрешения на
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates
(и вложенные подразделы).

А также на папку
\Documents and Settings\имя_учетки\Application Data\Microsoft\SystemCertificates
(и вложенные).

Проверял и перепроверял. И даже владельца менял
Даже выгрузил ветку из одноимённого профиля, созданного ещё после установки системы (который разместил под другим именем), а потом загрузил в используемый. Всё равно.
К тому же эти папки и ветки практически пустые. Только в "корневых сертификатах" есть двоичный ключ (скорее всего,*указатель на системную папку)

P.S.
Для пользовательских профилей при установке в winnt32.sif прописал каталог d:\profiles

может ли получиться, что где-нибудь в настройках старый путь остался?

Апну старую тему.
Проблема актуальна, после перехода в домен и переноса пользовательских настроек с локальных на сетевые, вот таким способом:
1) Под локальным юзером выполнить --> cmd --> set.
2) выясняем, где на самом деле его личная папка (что-то типа "C:\Documents and Settings\SuperUser" )
3) Загоняем машину в домен, один раз заходим доменным юзером.Перезагружаемся.
4) Под локальным администратором запускаем regedit , cтоя на ветке HKLM выполняем "Загрузить куст" (например : C:\Documents and Settings\SuperUser\ntuser.dat) , т.е именно старый профиль этого юзера
имя даем любое, правая кнопка --> Права --> Даем полные права доменному юзеру на эту ветку
5) Тоже самое проделываем с кустом в %UserProfile%\Local Settings\Application Data\Microsoft\Windows\Usrclass.dat (тут ассоциации файлов)
6) В ветке HKLM\Sofware\Microsoft\Windows NT\Profilelist\ ищем профиль, указывающий на настройки доменного юзера и меняем путь на старый (от локального).
7) Даем полные права на этот путь доменному юзеру. Перезагружаемся.

UDP: На всех машинах где миграция выполнялась выше описанным способом - наблюдается точно такая же проблема у пользователей со стандартными настройками прав пользователей домена.
Если дать пользователю права локального администратора - сертификаты фунциклируют нормально.

вот таким способом
ForensiT (http://www.forensit.com/downloads.html) пробовали?

Спасибо за ссылку, но уже не актуально.
Миграция была выполнена раньше, а сертификаты понадобились только сейчас.

UPDATE#4

UPDATE#4
Еще в настройках разрешений есть галка "Заменить разрешения для всех дочерних объектов". Бывает, с первого раза не до конца отрабатывает (с ошибкой). Тогда можно применить несколько раз.

Пришлось удалять и заново создавать локальный профиль (c:\documents and settings\) доменного пользователя на данной машине.

Читал и не понял, в чем решение ?

Dekabryi, наблюдается ли проблема под другой учетной записью?

в общем так
есть мандатори роуминг профайл.
при первом логоне на ПК, счастье ! все открывается везде есть доступ.
при последующих, не открывается не одна https ссылка т.к. нет доступа к промежуточным центрам сертификации (и еще ряду других) но к ROOT и Личным , доступ есть.

Удаляем кэш профиля с ПК и все как при первом логоне.

Даём права локального админа, счастье не покидает. Но если это все отобрать, то получаем не доступность HTTPS.

доступ в реестре на ветку давали, результат = 0.

подскажите куда копать ?!

забыл добавить что профиль win 7.

есть мандатори роуминг профайл
По всей видимости, кривые разрешения на папку
профиль\AppData\Roaming\Microsoft\SystemCertificates
(или ее содержимое).

Petya V4sechkin, Спасибо, буду копать далее!!!!!!!!!!!!!

если есть ещё идеи , пишите !!!!!!!!!!!

Petya V4sechkin,

не помогло

есть стойкое чувство что съезжают какие то переменные .

помогайте чем можете, нужна переменная которая участвует в путях хранения локальных сертификатов !

чую что там где то засада , а докопаться не могу !

Dekabryi, сделайте лог Process Monitor (http://technet.microsoft.com/ru-ru/sysinternals/bb896645) следующим образом:
зайдите в систему под пользователем;
запустите Process Monitor от имени учетной записи с правами администратора (правой кнопкой мыши -> Запуск от имени);
попытайтесь открыть в браузере какую-нибудь HTTPS-ссылку;
сохраните лог: меню File -> Save -> CSV-формат;
заархивируйте и выложите на любой файлообменник.

Petya V4sechkin,
Process Monitor - не запускается под этим пользователем.

Вот корень моего зла!
http://s40.radikal.ru/i088/1304/dc/e7cedba1f6e1.jpg

не запускается под этим пользователем
запустите Process Monitor от имени учетной записи с правами администратора (правой кнопкой мыши -> Запуск от имени)

Petya V4sechkin,
И того мы получим разные переменные.

Dekabryi, не можете понять?
Procmon открывать через Запуск от имени.
А сертификаты или HTTPS-ссылки - от пользователя (текущей учетной записи).

Все просто на самом деле.
Удачи.

Petya V4sechkin,
При запуске любой программы из сессии пользователя, при помощи команды RunAS, переменные такие как
%username% %profile% и тд. в запущенной программе (с правами админа) и переменные первоначального юзера . Они абсолютно не равны .

А вот из таких переменных складывается путь для хранения сертификатов.
Вот и получается что какая то переменная "съезжает"