Центр сертификации родительского домена для дочерних доменов

У меня есть родительский домен и 2 дочерних домена этого родителя. Все серверы — Windows Server 2019. Я работаю над развертыванием программного обеспечения для обеспечения безопасности, и мне нужно получить действующий сертификат от центра сертификации. Центр сертификации находится на сервере в родительском домене.

Когда я иду, чтобы получить сертификат компьютера на машине дочернего домена, компьютер не показывает шаблонов или местоположений, из которых можно извлечь сертификат. Я могу без проблем получить сертификат из ЦС на машине в родительском домене.

Есть ли способ передать возможность получить сертификат компьютера для компьютера дочернего домена из родительского ЦС?

Есть несколько вариантов, как это сделать, и все они связаны с членством в группе. Самый простой вариант — добавить группу «Компьютеры домена» из дочернего домена в разрешения шаблонов сертификатов и предоставить необходимые разрешения (Чтение, Регистрация и, возможно, Автоматическая регистрация).

Однако я бы использовал более ориентированный на AGLP подход:

• в корневом домене леса создайте универсальную группу безопасности под названием «Компьютеры корпоративного домена».
• Добавьте группы «Компьютеры домена» и «Контроллеры домена» из всех, корневых и дочерних доменов в эту новую универсальную группу «Компьютер домена предприятия».

Затем в консоли шаблонов сертификатов (certtmpl.msc) выберите свойства нужного шаблона, перейдите на вкладку «Безопасность» и назначьте разрешения для этой новой универсальной группы.

Это может занять некоторое время, прежде чем все контроллеры домена будут реплицировать группы и обновления членства. Кроме того, компьютер необходимо перезагрузить, чтобы выбрать новое членство в группе, или подождать до 10 часов, пока не будет обновлен билет Kerberos.