我需要 Active Directory 證書服務嗎

我有一個 AD 設置，顯然存在與證書服務功能相關的漏洞。回想一下我參加過的 MS Server 課程，我什麼都不記得了，所以我在網上搜尋了一下，我傾向於“不”。

我不會在內部為任何東西生成證書 - 允許工作站進行自簽名，並且我的父組織有一些步驟可以在我們的伺服器上本地生成證書請求，以將其傳遞給第三方 CA。這似乎是ADCS的主要功能，我似乎沒有使用它。

使用者不使用 PKI，只使用使用者名和密碼，而且似乎 ADCS 與驗證與智能卡令牌關聯的 CA 有關。我可能記錯了，這與此無關。

那麼僅刪除 ADCS 是否安全？我相信如果您將某些東西提升到域控制器（或至少添加角色），它只是預設安裝，但我想不出任何時候我與它進行過互動。

DC 執行 Server 2012 和 2019（前者將在不久的將來某個時候被淘汰，將被 Server 2019 取代）。

刪除 Active Directory 證書服務是安全的。如果您不將其用於任何認證，則可以將其刪除。最近，當我們更改域控制器和 DHCP 伺服器時，我們在公司中刪除了它，一切正常。

引用自：https://serverfault.com/questions/1073428