Certificate-Authority
證書模板的組安全權限不起作用
我在加入域的 Server 2016 Enterprise CA 上發布了一個證書模板 - 我正在嘗試為我們的內部網路伺服器設置證書自動註冊。
當模板具有直接授予電腦帳戶的讀取/註冊/自動註冊權限時,相關電腦可以自動註冊。
當讀取/註冊/自動註冊權限分配給內置組“域電腦”時,(任何)加入域的電腦也可以自動註冊。
將安全權限分配給包含電腦帳戶作為成員的全域安全組時,這些電腦無法自動註冊。從電腦的證書管理器中使用“請求新證書”時 - 我可以選擇有問題的模板,但它失敗並出現錯誤“證書模板的權限不允許目前使用者註冊此類證書”。在應該有權註冊的電腦上執行 GPUpdate 時,我可以在 CA 上看到失敗。
我懷疑我錯過了一些愚蠢的東西 - 關於要檢查的東西有什麼建議嗎?
您需要在更改其安全組成員身份後重新啟動伺服器。