Planera certifikatmallsbehörighet för certifikatprofiler i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteInformation

Informationen i det här ämnet gäller enbart System Center 2012 R2 Configuration Manager.

Följande information kan hjälpa dig att planera för konfigurering av behörigheter för de certifikatmallar som System Center 2012 Configuration Manager använder när du distribuerar certifikatprofiler.

Standardsäkerhetsbehörigheter och överväganden

Följande standardsäkerhetsbehörigheter krävs för de certifikatmallar som Configuration Manager använder för att begära certifikat för användare och enheter:

  • Läs och registrera för det konto som programpoolen för registreringstjänsten för nätverksenheter använder

  • Läs för kontot som kör Configuration Manager-konsolen

Mer information om de här säkerhetsbehörigheterna hittar du i Steg 1: Installera och konfigurera registreringstjänsten för nätverksenheter och beroendenKonfigurera certifikatprofiler i Configuration Manager.

När du använder den här standardkonfigurationen kan inte användare och enheter begära certifikat direkt från certifikatmallarna och alla begäranden måste initieras av registreringstjänsten för nätverksenheter. Det här är en viktig begränsning eftersom dessa certifikatmallar måste konfigureras med Anges i begäran för certifikatmottagaren, vilket innebär en risk för personifiering om en icke registrerad användare eller en komprometterad enhet begär ett certifikat. I standardkonfigurationen måste registreringstjänsten för nätverksenheter initiera en sådan begäran. Risken för personifiering kvarstår dock om tjänsten som kör registreringstjänsten för nätverksenheter har komprometterats. Undvik den här risken genom att följa alla rekommenderade säkerhetsmetoder för registreringstjänsten för nätverksenheter och den dator som kör den här rolltjänsten.

Om standardsäkerhetsbehörigheterna inte uppfyller dina affärskrav har du ett annat alternativ för att konfigurera säkerhetsbehörigheterna på certifikatmallarna: Du kan lägga till läs- och registreringsbehörigheter för användare och datorer.

Lägga till läs- och registreringsbehörigheter för användare och datorer

Det kan vara lämpligt att lägga till läs- och registreringsbehörigheter för användare och datorer om ett separat team hanterar ditt certifikatutfärdarinfrastrukturteam och detta separata team vill Configuration Manager kontrollera att användarna har ett giltigt Active Directory Domain Services-konto innan de skickar en certifikatprofil för att begära ett användarcertifikat. För den här konfigurationen måste du specificera en eller flera säkerhetsgrupper som innehåller användarna och därefter ge grupperna läs- och registreringsbehörigheter på certifikatmallarna. I det här scenariot hanterar CA-administratören säkerhetskontrollen.

På liknande visa kan du specificera en eller flera säkerhetsgrupper som innehåller datorkonton och därefter ge grupperna läs- och registreringsbehörigheter på certifikatmallarna. Om du distribuerar en datorcertifikatprofil till en dator som är en domänmedlem måste datorkontot för den aktuella datorn ges läs- och registreringsbehörigheter. De här behörigheterna krävs inte om datorn inte är en domänmedlem – till exempel om det är en arbetsgruppsdator eller en personlig mobilenhet.

Trots att den här konfigurationen använder en extra säkerhetskontroll rekommenderar vi den inte. Anledningen är att de angivna användarna eller ägarna till enheterna kan begära certifikat oberoende av Configuration Manager och tillhandahålla värden för certifikatmottagarten som kan användas för att personifiera en annan användare eller enhet.

Om du dessutom specificerar konton som inte kan autentiseras när certifikatbegäran uppstår kommer certifikatbegäran att misslyckas. Certifikatbegäran misslyckas till exempel om den server som kör registreringstjänsten för nätverksenheter är i en Active Directory-skog som inte är betrodd av den skog som innehåller certifieringsregistreringsplatsens platssystemserver. Du kan konfigurera certifieringsregistreringsplatsen att fortsätta om ett konto inte kan autentiseras på grund av att det inte kommer något svar från en domänkontrollant. Det är dock inte en rekommenderad säker metod.

Observera att om certifieringsregistreringsplatsen är konfigurerad att kontrollera kontobehörigheter och det finns en domänkontrollant som avvisar autentiseringsbegäran (till exempel om kontot är utelåst eller har raderats) så kommer certifikatregistreringsbegäran att misslyckas.

Så här kontrollerar du läs- och registreringsbehörigheter för användare och domänmedlemsdatorer

  1. Gå till den platssystemserver som är värd för certifieringsregistreringsplatsen och skapa följande DWORD-registernyckel med värdet 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Om ett konto inte kan autentiseras på grund av att det saknas ett svar från en domänkontrollant och du vill kringgå behörighetskontrollen:

    - Gå till den platssystemserver som är värd för certifieringsregistreringsplatsen och skapa följande DWORD-registernyckel med värdet 1: HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\SCCM\\CRP\\SkipTemplateCheckOnlyIfAccountAccessDenied
    
  3. Öppna fliken Säkerhet i certifikatutfärdarens mall certifikategenskaper och lägg till en eller fler säkerhetsgrupper för att ge användar- eller enhetskontona läs- och registreringsbehörigheter.