-alfred- 10 Geschrieben 21. Dezember 2007 Melden Teilen Geschrieben 21. Dezember 2007 Hallo, ich habe eine Frage an die Admins in größeren Unternehmen bezüglich der Administration von Zertifizierungsstellen: Gibt es eine Möglichkeit die Berechtigungen zum Erstellen/Verwalten von Zertifikatsvorlagen (die ja im Forest zentral gespeichert werden) an einen User zu vergeben ohne ihn zum Organisationsadministrator zu machen? Kann man hier irgendwie Rechte auf spezielle Container vergeben? Falls nicht, wie wird das denn in großen Firmen gehandhabt? Angenommen man hat hunderte Außenstellen auf der ganzen Welt, viele Subdomains für diese aber insgesamt nur einen großen AD-Forest. Da kann es doch nicht sein das jede Außenstelle, die für irgendeine Anwendung eine Zertifizierungsstelle aufbauen will, Organisationsadmin-Rechte für die ganze Welt bekommt, oder? Ich kann mir auch nicht vorstellen das in so einem großen Laden alle Zertifikats-Anfragen zentral gehandhabt werden. Wäre interessant hier ein paar Erfahrungsberichte/Tips zu hören. Gruß, Alfred Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 29. Dezember 2007 Melden Teilen Geschrieben 29. Dezember 2007 Hallo, um Zertifikat-Templates zu erstellen / bearbeiten / veröffentlichen muß der Benutzer kein Enterprise-Admin sein, auch wenn die Templates in der Organisation / dem Forest verteilt werden. Du kannst die benötigten Rechte zum Anlegen neuer Zertifikat Templates auf dem Container CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain>,DC=<tld> vergeben, so z.B. in den ADUC oder mittels ADSIEdit. Nutzt Du ADUC (Active Directory Users & Computers) kannst Du die Rechte delegieren, in dem Du auf dem o.g. Container als "Custom Task" im Delegation Wizard beispielsweise "Full Control" wählst. Somit hab en die angegeben Benutzer bzw. besser Gruppen auch das Recht, Zertifikat-Templates zu erstellen. Um ausschließlich bestehende Zertifikate zu verwalten und keine neuen anzulegen, kannst Du den gewünschten Zertifikat Managern (Benutzer oder Gruppen) die Berechtigung "Issue and Manage Certificates" in den Security Settings der CA geben. Als weitere Möglichkeit (sollte mehr als nur die Delegierung der Verwaltung von Zertifikat-Templates nötig sein) wäre es denkbar, daß Du die CAs nach Zuständigkeit splittest. Daß heißt mehrere Issuing CAs installierst, auf die dann nur bestimmte Benutzer bzw. Gruppen administrativen Zugriff haben. Dies ist jedoch meist erst dann notwendig, wenn die Umgebung etwas größer ist und hat wie gesagt nur marginal etwas mit den Templates zu tun. http://technet2.microsoft.com/WindowsServer/en/library/091cda67-79ec-481d-8a96-03e0be7374ed1033.mspx Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.