Plánování oprávnění šablon certifikátů pro profily certifikátů v Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Důležité

Od verze 2203 se tato funkce přístupu k prostředkům společnosti už nepodporuje. Další informace najdete v tématu Nejčastější dotazy týkající se vyřazení přístupu k prostředkům.

Následující informace vám můžou pomoct při plánování konfigurace oprávnění pro šablony certifikátů, které Configuration Manager používat při nasazování profilů certifikátů.

Výchozí oprávnění zabezpečení a důležité informace

Výchozí oprávnění zabezpečení vyžadovaná pro šablony certifikátů, které Configuration Manager budou používat k vyžádání certifikátů pro uživatele a zařízení, jsou následující:

  • Čtení a registrace pro účet, který používá fond aplikací Služby zápisu síťových zařízení

  • Čtení pro účet, na kterém běží konzola Configuration Manager

    Další informace o těchto oprávněních zabezpečení najdete v tématu Konfigurace infrastruktury certifikátů.

    Když použijete tuto výchozí konfiguraci, uživatelé a zařízení nemůžou přímo požadovat certifikáty ze šablon certifikátů a všechny požadavky musí být iniciovány Službou zápisu síťových zařízení. Jedná se o důležité omezení, protože tyto šablony certifikátů musí být v žádosti pro subjekt certifikátu nakonfigurované na hodnotu Zadat , což znamená, že pokud podvodný uživatel nebo ohrožené zařízení požádá o certifikát, existuje riziko zosobnění. Ve výchozí konfiguraci musí takový požadavek iniciovat Služba zápisu síťových zařízení. Toto riziko zosobnění však zůstává, pokud dojde k ohrožení zabezpečení služby, která spouští Službu zápisu síťových zařízení. Abyste se tomuto riziku vyhnuli, postupujte podle všech osvědčených postupů zabezpečení pro Službu zápisu síťových zařízení a pro počítač, na kterém je tato služba rolí spuštěná.

    Pokud výchozí oprávnění zabezpečení nesplňují vaše firemní požadavky, máte další možnost konfigurace oprávnění zabezpečení v šablonách certifikátů: Můžete přidat oprávnění ke čtení a zápisu pro uživatele a počítače.

Přidání oprávnění ke čtení a zápisu pro uživatele a počítače

Přidání oprávnění ke čtení a zápisu pro uživatele a počítače může být vhodné, pokud váš tým infrastruktury certifikační autority (CA) spravuje samostatný tým a tento samostatný tým chce Configuration Manager ověřit, že uživatelé mají platný účet Active Directory Domain Services, a teprve potom jim pošlete profil certifikátu pro vyžádání uživatele. Certifikát. Pro tuto konfiguraci musíte zadat jednu nebo více skupin zabezpečení, které obsahují uživatele, a pak těmto skupinám udělit oprávnění ke čtení a zápisu pro šablony certifikátů. V tomto scénáři spravuje řízení zabezpečení správce certifikační autority.

Podobně můžete zadat jednu nebo více skupin zabezpečení, které obsahují účty počítačů, a udělit těmto skupinám oprávnění Ke čtení a zápisu pro šablony certifikátů. Pokud nasadíte profil certifikátu počítače do počítače, který je členem domény, musí být účtu počítače tohoto počítače udělena oprávnění ke čtení a zápisu. Tato oprávnění se nevyžadují, pokud počítač není členem domény. Například pokud se jedná o počítač pracovní skupiny nebo osobní mobilní zařízení.

I když tato konfigurace používá jiný ovládací prvek zabezpečení, nedoporučujeme ho jako osvědčený postup. Důvodem je to, že zadaní uživatelé nebo vlastníci zařízení můžou požadovat certifikáty nezávisle na Configuration Manager a zadat hodnoty pro subjekt certifikátu, které by se mohly použít k zosobnění jiného uživatele nebo zařízení.

Pokud navíc zadáte účty, které nelze ověřit v době, kdy dojde k žádosti o certifikát, žádost o certifikát ve výchozím nastavení selže. Žádost o certifikát se například nezdaří, pokud se server, na kterém běží Služba zápisu síťových zařízení, nachází v doménové struktuře služby Active Directory, která je nedůvěryhodná pro doménovou strukturu obsahující systémový server lokality bodu registrace certifikátu. Pokud účet nejde ověřit, protože řadič domény neodpozoroval, můžete nakonfigurovat bod registrace certifikátu tak, aby pokračoval. Nejedná se ale o osvědčený postup zabezpečení.

Pokud je bod registrace certifikátu nakonfigurovaný tak, aby kontroloval oprávnění účtu a je k dispozici řadič domény a odmítne žádost o ověření (například účet je uzamčený nebo byl odstraněn), žádost o zápis certifikátu selže.

Kontrola oprávnění ke čtení a zápisu pro uživatele a počítače člena domény

  1. Na serveru systému lokality, který je hostitelem bodu registrace certifikátu, vytvořte následující klíč registru DWORD s hodnotou 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Pokud účet nejde ověřit, protože řadič domény nemá odpověď a chcete obejít kontrolu oprávnění:

    • Na serveru systému lokality, který je hostitelem bodu registrace certifikátu, vytvořte následující klíč registru DWORD s hodnotou 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
  3. Ve vydávající certifikační autoritě na kartě Zabezpečení ve vlastnostech šablony certifikátu přidejte jednu nebo více skupin zabezpečení, které udělí uživatelským účtům nebo účtům zařízení oprávnění Číst a Zapsat.