_thorben_ 10 Geschrieben 8. Januar 2005 Melden Teilen Geschrieben 8. Januar 2005 moin, ich versuche gerade in einer testumgebung einen EFS-Wiederherstellungsagenten zu erstellen. auf dem domain controller habe zusätzlich einen zertifikatsserver installiert der soweit auch funktioniert. als EFS-Wiederherstellungsagenten wollte ich den benutzer "efs" nehmen und melde mich mit diesem am client der funktionsfähing in der domäne hängt (er übernimmt zumindest alle grurilis) an. über mmc und zertifikate wollte ich nun EFS-Wiederherstellungszertifikat anfordern. Dies geht leider nicht obwohl ich in der Zertifikatsvorlage (am DC) die Sicherheitseinstellungen so gelegt habe dass der benutzer "efs" lesen, schreiben und registrieren kann. hat jemand einen idee wich ich einen nicht administrator zum wiederherstellugnsagenten machen kann? oder muss ich ihn kurzzeitig zum admin machen und kann ihn danach wieder degradieren? <edit> bitte ins backoffice verschieben, hab zu spät gelesen dass hier nur für clients ist.. </edit> danke im voraus thorben Zitieren Link zu diesem Kommentar
the_brayn 10 Geschrieben 9. Januar 2005 Melden Teilen Geschrieben 9. Januar 2005 Hiho, in der DefDomPol ist das Zertifikat des Wiederherstellungsagenten hinterlegt. Dises kannst du exportieren (welches eingentlich auch nach der installation des ersten DC immer gemacht werden sollte) und bei anderen Administratoren importieren. IMHO sollte es dann funktionieren. Gruß Guido Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. Januar 2005 Melden Teilen Geschrieben 9. Januar 2005 moin,ich versuche gerade in einer testumgebung einen EFS-Wiederherstellungsagenten zu erstellen. auf dem domain controller habe zusätzlich einen zertifikatsserver installiert der soweit auch funktioniert. als EFS-Wiederherstellungsagenten wollte ich den benutzer "efs" nehmen und melde mich mit diesem am client der funktionsfähing in der domäne hängt (er übernimmt zumindest alle grurilis) an. über mmc und zertifikate wollte ich nun EFS-Wiederherstellungszertifikat anfordern. Dies geht leider nicht obwohl ich in der Zertifikatsvorlage (am DC) die Sicherheitseinstellungen so gelegt habe dass der benutzer "efs" lesen, schreiben und registrieren kann. hat jemand einen idee wich ich einen nicht administrator zum wiederherstellugnsagenten machen kann? oder muss ich ihn kurzzeitig zum admin machen und kann ihn danach wieder degradieren? <edit> bitte ins backoffice verschieben, hab zu spät gelesen dass hier nur für clients ist.. </edit> danke im voraus thorben Die Vorlage für den Wiederherstllungsagenten (Näheres ist uns jetzt nicht bekannt) hast du aber veröffentlicht, oder nur die berechtigungen gesetzt. Weil wenn veröffentlicht, und die Berechtigungen stimmenm, dann kann diese auch von den betreffenden Benutzern angefordert werden. Das dann erfolgreich angeforderte und ausgestellte Zertifikat muss vom designierten DRA (Data Recovery Agent= Wiederherstellungsagenten) als .CER-Datei, also ohne Private Key!, exportiert werden und kann dann in der Domänenrichtlinie importiert werden, bzw. bei einer Unternehmens-CA, bei der das Zertifikat im AD veröffentlicht wurde, sollte es auch über die Benutzerauswahl gehen. Der Benutzer muss dazu zu keinem Zeitpunkt Admin Rechte haben. grizzly999 Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. Januar 2005 Melden Teilen Geschrieben 9. Januar 2005 Hiho, in der DefDomPol ist das Zertifikat des Wiederherstellungsagenten hinterlegt. Dises kannst du exportieren (welches eingentlich auch nach der installation des ersten DC immer gemacht werden sollte) und bei anderen Administratoren importieren. IMHO sollte es dann funktionieren. Gruß Guido Das Zertifikat in der Richtlinie exportieren würde diesem zweck nicht genügen, da es ohne privaten Schlüssel ist. Es würde nur zum wieder Importiern in der Rrichtlinie genügen. Um jemand anderen die Möglichkeit zu geben, mit dem DRA-Zertifikat verschlüsselte Dateien wiederherzustellen, müsste auf dem ertsen DC über ein (selbererstelltes)Zertifikate-Snap-In für den Domänen-Admin das Zertifikat mit samt dem privaten Schlüssel exportiert werden. grizzly999 Zitieren Link zu diesem Kommentar
_thorben_ 10 Geschrieben 9. Januar 2005 Autor Melden Teilen Geschrieben 9. Januar 2005 morgen, ich habe nach http://www.microsoft.com/austria/kmu/businessthemen/it-sicherheit/sicherheit/artikel/protect_data_efs.mspx gearbeitet als erstes in den zertifikatsvorlagen vom dc die EFS-Wiederherstellungsvorlage kopiert (doppelte vorlage) dann bei der kopie Allgemein -> "Zertifikat in AD veröffentlichen" dann unter Sicherheit den benutzer efs die rechnte für lesen, schreiben, registrieren gegeben trotzdem kann ich am client wenn ich mich mit dem benutzer efs einlogge und über mmc die zertfikate aufrufe ein EFS-Wiederherstellungszertifikat anfordern :-( gruß thorben Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. Januar 2005 Melden Teilen Geschrieben 9. Januar 2005 Das ist nicht ausreichend. Das Zertifikat im AD veröffentlichen meint das fertig ausgestellte Zertifikat, nicht die Vorlage! Die erstellte Vorlage muss in der CA unter (rechte Maustaste ->)Zertifikatsvorlagen->Neu->Auszustellende zertifikatsvorlage veröffentlicht werden, sonst kann die nie jemand auswählen. grizzly999 Zitieren Link zu diesem Kommentar
_thorben_ 10 Geschrieben 9. Januar 2005 Autor Melden Teilen Geschrieben 9. Januar 2005 moin, leider kann ich in dem von dir beschriebenen feld meine zertifikatsvorlage nicht auswählen. Mir ist aber aufgefallen dass in den zertifikatsvorlagen als "Min. unterstützte Zertifizierungsstellen" "windows server 2003 enterprise edition" steht, ich setze allerdings nur die standard version ein. könnte es daran liegen? danke für deine schnelle hilfe thorben Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. Januar 2005 Melden Teilen Geschrieben 9. Januar 2005 Tja, daran liegt es. Ich dachte du setzt diese ein, da du mit den Vorlagen hantierst grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.