Регистрация Войти
Рейтинг:0
Daniel avatar Server

Нацелить конкретный ЦС предприятия для автоматической регистрации?

флаг in
Daniel

У нас есть два промежуточных ЦС предприятия (Windows AD CS) в нашем домене AD. В обоих центрах сертификации включена только роль центра сертификации.

CA1 отвечает за выдачу сертификатов рабочим станциям и пользователям и имеет шаблон Аутентификация рабочей станции.

CA2 отвечает за выдачу сертификатов серверам и имеет шаблон Аутентификация сервера.

Автоматическая регистрация включена на всех рабочих станциях и серверах в нашем домене и работает.

Проблема:

Рабочие станции должны быть нацелены только на CA1 для автоматической регистрации.
и серверы должны быть нацелены только на CA2 для автоматической регистрации.

Я хочу добиться этого с помощью групповых политик.

Я знаю, что могу разрешить автоматическую регистрацию в шаблоне только для членов групп безопасности, и это сработает.

Однако я предпочитаю решение с использованием групповых политик, потому что мы организуем рабочие станции и серверы в разных OU. Я могу ориентироваться на обе группы с помощью групповых политик в OU. Решение группы безопасности потребовало бы от нас управления еще двумя новыми группами безопасности.

Можно ли настроить рабочую станцию ​​или сервер для автоматической регистрации только из определенного ЦС предприятия? Я открыт для альтернатив, если они могут быть достигнуты с помощью групповых политик.

30
0 + 0
Рейтинг:1
avatar Server
флаг cn
Crypt32

Я открыт для альтернатив, если они могут быть достигнуты с помощью групповых политик.

Я думаю, вы пошли в неправильном направлении. Решение выбирается исходя из проблемы, а не наоборот. Ваше требование (только GPO) не оправдано проблемой.

Давайте сосредоточимся на проблеме:

  • Рабочие станции должны быть нацелены только на CA1 для автоматической регистрации.
  • и серверы должны ориентироваться только на CA2 для автоматической регистрации

эта задача решается разрешениями. Поместите рабочие станции в группу безопасности (скажем, «Рабочие станции») и предоставьте разрешения на чтение, регистрацию и автоматическую регистрацию шаблону сертификата «Аутентификация рабочей станции». Назначьте этот шаблон только CA1.

Поместите серверы в группу безопасности (скажем, «Серверы») и предоставьте разрешения на чтение, регистрацию и автоматическую регистрацию шаблону сертификата «Аутентификация сервера». Назначьте этот шаблон только CA2.

Единый объект групповой политики с автоматической регистрацией может применяться к организационной единице верхнего уровня или даже на уровне домена. Рекомендуется применять объект групповой политики автоматической подачи заявок на уровне домена, а точные параметры автоматической подачи заявок (кто и какие шаблоны могут использовать для автоматической подачи заявок) контролируются разрешениями шаблона сертификата и назначением шаблона соответствующим центрам сертификации.

0 + 0
Daniel avatar
флаг in
Daniel
Спасибо за ответ. Можно ли указать клиенту, какой сервер ADCS выбрать для автоматической регистрации? Я согласен с тем, что использование групп безопасности предпочтительнее, но я не согласен с вашей оценкой, что мой подход является плохой практикой. Группы безопасности требуют дополнительной работы в нашей текущей среде. Это нормальная практика развертывания политик на основе OU, и мой подход соответствует этому.
0
Ответить
флаг cn
Crypt32
«Можно ли сообщить клиенту, какой сервер ADCS выбрать для автоматической регистрации?» — нет. Я описал, как это должно быть сделано в соответствии с лучшими практиками. `Развертывание политик на основе OU – это нормальная практика, а не автоматическая регистрация из-за ее специфики.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.