Beetlejuice 11 Geschrieben 21. März 2014 Melden Geschrieben 21. März 2014 Hallo, wir nutzen mehere DomainController und 2 mit je 2008 R2 Standard und 2012 Standard als Zertifikatsserver. Ich habe ein neues Zertifkattemplate angelegt, welches ich als Webserverzertifikate verwenden möchte. Zusätzlich habe ich die Berechtigungen so konfiguriert, dass nur bestimme Computer aus einer Gruppe, dieses Zertifikat anfordern sollen. Diese Gruppe ist zusätzlich Mitglied der Gruppe "Certificate Service DCOM Access". Wenn ich nun dieses Zertifikat über den Server anfordere (über die MMC und Zertifikat SnapIn mit Computerkonto), kann kein neues Zertifikat anfordern. Es kommt die Fehlermeldung, dass ich unzureichende Berechtigungen habe um dieses Zertifikat anzufordern. In der CA sehe ich die Ablehnung der Anforderung Auzug aus dem Ereignisslog: Active Directory Certificate Services denied request 292 because The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422). The request was for CN=win10025.****.de. Additional information: Denied by Policy Module Wenn ich jedoch der Gruppe "Domänencomputer" die gleichen Rechte auf das Tempalte wie für meine eigene Grupe einräume, funktioniert die beantragung des Zertifikates. Wo habe ich hier meinen Denkfehler oder was habe ich nicht bedacht? viele Grüße
olc 18 Geschrieben 23. März 2014 Melden Geschrieben 23. März 2014 (bearbeitet) Hi Beetlejuice, die Beantragung des Computerzertifikats geschieht im Sicherheitskontext des Computers. Das heißt der Computer benötigt die Zugriffsrechte (Read+Enroll) auf dem Zertifikat-Template. Du könntest zum Beispiel eine Gruppe anlegen, in der alle Computer/Server Mitglied sind, die das Zertifikat anfordern sollen, um dieser Gruppe dann die Berechtigungen auf das Template zu geben. Alternativ gleich per Autoenrollment auf diese Filtergruppe die Zertifikate ausrollen, je nach Anforderung Deinerseits. P.S.: Nach dem Hinzufügen der Computer/Server in die neue Gruppe nicht vergessen die Systeme neu zu starten, um die Gruppenmitgliedschaft "anzuwenden". Viele Grüße olc bearbeitet 23. März 2014 von olc
Beetlejuice 11 Geschrieben 24. März 2014 Autor Melden Geschrieben 24. März 2014 Hi, danke für die Antwort. Ich habe das genau so gemacht bis auf das Autoenrollment. Das einzige was ich nciht gemacht habe ist, den Server neuzusztarten. Ich werde das gleich mal ausprobieren, Danke. Gruß
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden