Windows
以特定企業 CA 為目標進行自動註冊?
我們的 AD 域中有兩個中間企業 CA (Windows AD CS)。兩個 CA 都只啟用了證書頒發機構角色。
CA1 負責向工作站和使用者頒發證書,並具有模板Workstation Auth。
CA2 負責向伺服器頒發證書,並有一個模板Server Auth。
自動註冊在我們域中的所有工作站和伺服器上啟用並且正在工作。
問題:
工作站應僅針對 CA1 進行自動註冊
,伺服器應僅針對 CA2 進行自動註冊。
我想使用組策略來實現這一點。
我知道我可以只允許安全組成員在模板上自動註冊,這會奏效。
但是,我更喜歡使用組策略的解決方案,因為我們將工作站和伺服器組織在不同的 OU 中。我可以使用 OU 上的組策略來定位這兩個組。安全組解決方案需要我們在此基礎上管理兩個新的安全組。
是否可以將工作站或伺服器配置為僅從特定企業 CA 自動註冊?如果可以使用組策略來實現,我對替代方案持開放態度。
如果可以使用組策略來實現,我對替代方案持開放態度。
我認為你走錯了方向。解決方案是根據問題選擇的,而不是相反的。您的要求(僅限 GPO)不能通過問題來證明。
讓我們專注於一個問題:
- 工作站應僅針對 CA1 進行自動註冊
- 並且伺服器應該只針對 CA2 進行自動註冊
此任務由權限解決。將工作站放入一個安全組(比如說“工作站”),並授予“工作站身份驗證”證書模板的讀取、註冊和自動註冊權限。僅將此模板分配給 CA1。
將伺服器放入一個安全組(比如說“伺服器”)並授予“伺服器身份驗證”證書模板的讀取、註冊和自動註冊權限。僅將此模板分配給 CA2。
單個自動註冊 GPO 可以應用於頂級 OU 甚至域級別。在域級別應用自動註冊 GPO 是一種很好的做法,並且確切的自動註冊設置(誰和哪些模板可以用於自動註冊)由證書模板權限和模板分配給相應的 CA 來控制。