我来帮你梳理下这两个操作需要的最小权限配置，不用本地管理员账户也能搞定：

一、解决Import-PfxCertificate的权限问题 #

这个命令是把PFX证书导入到本地机器的WebHosting证书存储，需要以下权限：

• 证书存储权限：
  1. 打开certlm.msc（本地计算机证书管理器）
  2. 展开「Web Hosting」存储，右键选择「所有任务」→「管理私钥」
  3. 添加你的目标执行用户/组，授予读取和写入权限（写入用于导入证书，读取是后续绑定操作的基础）
  4. 别忘了给目标用户授予PFX文件所在路径的读取权限，确保能读取证书文件本身
• 可选补充权限：如果导入时仍有问题，可通过本地组策略（gpedit.msc）给用户添加SeRestorePrivilege（还原文件和目录权限）：
  路径是「计算机配置」→「Windows设置」→「安全设置」→「本地策略」→「用户权限分配」，找到对应权限添加用户

二、解决IIS绑定添加SSL证书的权限问题 #

这部分涉及修改IIS站点配置和访问证书，需要这些权限：

• IIS站点与配置文件权限：
  1. 打开IIS管理器，找到目标站点，右键选择「编辑权限」→「安全」标签
  2. 添加目标用户/组，授予修改权限（或者更精细的「读取+写入」权限）
  3. 给IIS配置目录（默认是C:\Windows\System32\inetsrv\config）的目标用户添加读取和写入权限，因为要修改applicationHost.config配置文件
• 证书访问权限：
  确保目标用户对WebHosting存储里的目标证书有读取权限：在certlm.msc里右键对应证书→「所有任务」→「管理证书权限」，添加用户并授予读取权限
• 可选补充权限：如果还是出现E_ACCESSDENIED错误，可通过本地组策略给用户添加SeSecurityPrivilege（管理审核和安全日志），路径同上用户权限分配界面

测试建议 #

配置完所有权限后，让目标用户注销再重新登录（确保权限生效），然后分步骤测试：先运行导入证书命令，确认证书成功导入后，再测试绑定命令，逐步排查问题。

内容的提问来源于stack exchange，提问作者Sébastien Caron