Jump to content

Enterprise CA für EFS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen

 

Ich habe auf unserer Root Domäne einen Enterprise CA eingerichtet. Danach

habe ich auch noch ein Zertifikat erstellt welcher dann EFS Recovery Agent

wird. Auf der domain policy der root domain habe ich jetzt disese Zertifikat

als EFS Recovery Agent hinzugefügt.

Jetzt haben wir auch noch drei weitere Domänen, soll ich da jetzt auch noch

eine Zertifkiat erstellen oder kann ich den von der Root benützen. Ausserdem

bräuchte ich dann auch noch Zertifikate pro OUs um den einzelnen Firmen auch

so einen benutzer zur verfügung stellen zu können, nicht das dann das

enterprise Zertifikat immer alles wiederherstellen muss. Wie sind eure

Empfehlungen oder Erfahrungen zu diesem Thema?

Link zu diesem Kommentar

Woher das Zertifikat für den DRA (Wiederherstellungsagenten) stammt, ist egal, kann auch aus einer anderen Domäne sein, Hauptsache, du hast den private key dazu ;)

Einen eigenen DRA für OUs zu machen, das geht per GPO, wenn man jeweils eigene Zertifikate dafür nimmt. Man sollte halt dafür sorgen, dass der private key dann in "vertraeunswürdigen" Händen ist, wo er nicht durch die ganze Abteilung wandert. Wenn du dieses Risiko befürchtest, dann besser einen zentralen DRA, was aber mehr Arbeit für dich bedeutet

 

 

grizzly999

Link zu diesem Kommentar

Sehe ich das richtig das es in jeder domäne standrdmässing schon einen DRA gibt? Kann ich diese dann auch einfach löschen? Am besten wäre einer in der Root Domäne der die Rechte für alle hat und dann nur noch auf OUs bezogen. Das würde bedeuten das ich eben die 3 zusätzlichen der chield domänen gar nicht bräuchte. Wie ist auch genau der zusammenhang zwischen zertifikat und einem Benutzer (meistens Administrator) um etwas wiederherstellen zu können? Falls jemand das Admin Kennwort kennt könnte er auch dateien wiederherstellen? Da müsste man ja eignetlich einen Benutzer erstellen den man normalerweise nie braucht.

Link zu diesem Kommentar

Standardmäßig hat jede Domäne ihren DRA, nämlich DER DomänenAdmin, also der automatisch erstellte Dom-Admin.

Das lässt sich per GPO natürlich ändern, wenn man dieses Zertifikat raunimmt und ein anderes mit dem selben Zweck einträgt.

 

Wenn jemand das Adminkennwort kennt, kann er noch keine Dateien wiederherstellen, außer der Admin hätte eine servergespeichertes Benutzerprofil, denn der privtae Key liegt im Profil auf dem ersten DC. Der User müsste sich dann also dort auch anmelden können.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...