kingnet 10 Geschrieben 10. Oktober 2005 Melden Teilen Geschrieben 10. Oktober 2005 Hallo zusammen Ich habe auf unserer Root Domäne einen Enterprise CA eingerichtet. Danach habe ich auch noch ein Zertifikat erstellt welcher dann EFS Recovery Agent wird. Auf der domain policy der root domain habe ich jetzt disese Zertifikat als EFS Recovery Agent hinzugefügt. Jetzt haben wir auch noch drei weitere Domänen, soll ich da jetzt auch noch eine Zertifkiat erstellen oder kann ich den von der Root benützen. Ausserdem bräuchte ich dann auch noch Zertifikate pro OUs um den einzelnen Firmen auch so einen benutzer zur verfügung stellen zu können, nicht das dann das enterprise Zertifikat immer alles wiederherstellen muss. Wie sind eure Empfehlungen oder Erfahrungen zu diesem Thema? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 10. Oktober 2005 Melden Teilen Geschrieben 10. Oktober 2005 Woher das Zertifikat für den DRA (Wiederherstellungsagenten) stammt, ist egal, kann auch aus einer anderen Domäne sein, Hauptsache, du hast den private key dazu ;) Einen eigenen DRA für OUs zu machen, das geht per GPO, wenn man jeweils eigene Zertifikate dafür nimmt. Man sollte halt dafür sorgen, dass der private key dann in "vertraeunswürdigen" Händen ist, wo er nicht durch die ganze Abteilung wandert. Wenn du dieses Risiko befürchtest, dann besser einen zentralen DRA, was aber mehr Arbeit für dich bedeutet grizzly999 Zitieren Link zu diesem Kommentar
kingnet 10 Geschrieben 10. Oktober 2005 Autor Melden Teilen Geschrieben 10. Oktober 2005 Sehe ich das richtig das es in jeder domäne standrdmässing schon einen DRA gibt? Kann ich diese dann auch einfach löschen? Am besten wäre einer in der Root Domäne der die Rechte für alle hat und dann nur noch auf OUs bezogen. Das würde bedeuten das ich eben die 3 zusätzlichen der chield domänen gar nicht bräuchte. Wie ist auch genau der zusammenhang zwischen zertifikat und einem Benutzer (meistens Administrator) um etwas wiederherstellen zu können? Falls jemand das Admin Kennwort kennt könnte er auch dateien wiederherstellen? Da müsste man ja eignetlich einen Benutzer erstellen den man normalerweise nie braucht. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 10. Oktober 2005 Melden Teilen Geschrieben 10. Oktober 2005 Standardmäßig hat jede Domäne ihren DRA, nämlich DER DomänenAdmin, also der automatisch erstellte Dom-Admin. Das lässt sich per GPO natürlich ändern, wenn man dieses Zertifikat raunimmt und ein anderes mit dem selben Zweck einträgt. Wenn jemand das Adminkennwort kennt, kann er noch keine Dateien wiederherstellen, außer der Admin hätte eine servergespeichertes Benutzerprofil, denn der privtae Key liegt im Profil auf dem ersten DC. Der User müsste sich dann also dort auch anmelden können. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.