Beetlejuice 11 Geschrieben 21. März 2014 Melden Teilen Geschrieben 21. März 2014 Hallo, wir nutzen mehere DomainController und 2 mit je 2008 R2 Standard und 2012 Standard als Zertifikatsserver. Ich habe ein neues Zertifkattemplate angelegt, welches ich als Webserverzertifikate verwenden möchte. Zusätzlich habe ich die Berechtigungen so konfiguriert, dass nur bestimme Computer aus einer Gruppe, dieses Zertifikat anfordern sollen. Diese Gruppe ist zusätzlich Mitglied der Gruppe "Certificate Service DCOM Access". Wenn ich nun dieses Zertifikat über den Server anfordere (über die MMC und Zertifikat SnapIn mit Computerkonto), kann kein neues Zertifikat anfordern. Es kommt die Fehlermeldung, dass ich unzureichende Berechtigungen habe um dieses Zertifikat anzufordern. In der CA sehe ich die Ablehnung der Anforderung Auzug aus dem Ereignisslog: Active Directory Certificate Services denied request 292 because The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422). The request was for CN=win10025.****.de. Additional information: Denied by Policy Module Wenn ich jedoch der Gruppe "Domänencomputer" die gleichen Rechte auf das Tempalte wie für meine eigene Grupe einräume, funktioniert die beantragung des Zertifikates. Wo habe ich hier meinen Denkfehler oder was habe ich nicht bedacht? viele Grüße Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 23. März 2014 Melden Teilen Geschrieben 23. März 2014 (bearbeitet) Hi Beetlejuice, die Beantragung des Computerzertifikats geschieht im Sicherheitskontext des Computers. Das heißt der Computer benötigt die Zugriffsrechte (Read+Enroll) auf dem Zertifikat-Template. Du könntest zum Beispiel eine Gruppe anlegen, in der alle Computer/Server Mitglied sind, die das Zertifikat anfordern sollen, um dieser Gruppe dann die Berechtigungen auf das Template zu geben. Alternativ gleich per Autoenrollment auf diese Filtergruppe die Zertifikate ausrollen, je nach Anforderung Deinerseits. P.S.: Nach dem Hinzufügen der Computer/Server in die neue Gruppe nicht vergessen die Systeme neu zu starten, um die Gruppenmitgliedschaft "anzuwenden". Viele Grüße olc bearbeitet 23. März 2014 von olc Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 24. März 2014 Autor Melden Teilen Geschrieben 24. März 2014 Hi, danke für die Antwort. Ich habe das genau so gemacht bis auf das Autoenrollment. Das einzige was ich nciht gemacht habe ist, den Server neuzusztarten. Ich werde das gleich mal ausprobieren, Danke. Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.