Enterprise CA für EFS

[kingnet]

Hallo zusammen

Ich habe auf unserer Root Domäne einen Enterprise CA eingerichtet. Danach
habe ich auch noch ein Zertifikat erstellt welcher dann EFS Recovery Agent
wird. Auf der domain policy der root domain habe ich jetzt disese Zertifikat
als EFS Recovery Agent hinzugefügt.
Jetzt haben wir auch noch drei weitere Domänen, soll ich da jetzt auch noch
eine Zertifkiat erstellen oder kann ich den von der Root benützen. Ausserdem
bräuchte ich dann auch noch Zertifikate pro OUs um den einzelnen Firmen auch
so einen benutzer zur verfügung stellen zu können, nicht das dann das
enterprise Zertifikat immer alles wiederherstellen muss. Wie sind eure
Empfehlungen oder Erfahrungen zu diesem Thema?

[grizzly999]

Woher das Zertifikat für den DRA (Wiederherstellungsagenten) stammt, ist egal, kann auch aus einer anderen Domäne sein, Hauptsache, du hast den private key dazu
Einen eigenen DRA für OUs zu machen, das geht per GPO, wenn man jeweils eigene Zertifikate dafür nimmt. Man sollte halt dafür sorgen, dass der private key dann in "vertraeunswürdigen" Händen ist, wo er nicht durch die ganze Abteilung wandert. Wenn du dieses Risiko befürchtest, dann besser einen zentralen DRA, was aber mehr Arbeit für dich bedeutet


grizzly999

[kingnet]

Sehe ich das richtig das es in jeder domäne standrdmässing schon einen DRA gibt? Kann ich diese dann auch einfach löschen? Am besten wäre einer in der Root Domäne der die Rechte für alle hat und dann nur noch auf OUs bezogen. Das würde bedeuten das ich eben die 3 zusätzlichen der chield domänen gar nicht bräuchte. Wie ist auch genau der zusammenhang zwischen zertifikat und einem Benutzer (meistens Administrator) um etwas wiederherstellen zu können? Falls jemand das Admin Kennwort kennt könnte er auch dateien wiederherstellen? Da müsste man ja eignetlich einen Benutzer erstellen den man normalerweise nie braucht.

[grizzly999]

Standardmäßig hat jede Domäne ihren DRA, nämlich DER DomänenAdmin, also der automatisch erstellte Dom-Admin.
Das lässt sich per GPO natürlich ändern, wenn man dieses Zertifikat raunimmt und ein anderes mit dem selben Zweck einträgt.

Wenn jemand das Adminkennwort kennt, kann er noch keine Dateien wiederherstellen, außer der Admin hätte eine servergespeichertes Benutzerprofil, denn der privtae Key liegt im Profil auf dem ersten DC. Der User müsste sich dann also dort auch anmelden können.