Planen von Zertifikatvorlagenberechtigungen für Zertifikatprofile in Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Wichtig
Ab Version 2203 wird dieses Feature für den Zugriff auf Unternehmensressourcen nicht mehr unterstützt. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung des Ressourcenzugriffs.
Die folgenden Informationen helfen Ihnen bei der Planung der Konfiguration von Berechtigungen für die Zertifikatvorlagen, die Configuration Manager beim Bereitstellen von Zertifikatprofilen verwenden.
Standardsicherheitsberechtigungen und -überlegungen
Die Standardsicherheitsberechtigungen, die für die Zertifikatvorlagen erforderlich sind, die Configuration Manager zum Anfordern von Zertifikaten für Benutzer und Geräte verwenden, lauten wie folgt:
Lesen und Registrieren für das Konto, das vom Anwendungspool des Registrierungsdiensts für Netzwerkgeräte verwendet wird
Lesen für das Konto, das die Configuration Manager-Konsole ausführt
Weitere Informationen zu diesen Sicherheitsberechtigungen finden Sie unter Konfigurieren der Zertifikatinfrastruktur.
Wenn Sie diese Standardkonfiguration verwenden, können Benutzer und Geräte Zertifikate nicht direkt von den Zertifikatvorlagen anfordern, und alle Anforderungen müssen vom Registrierungsdienst für Netzwerkgeräte initiiert werden. Dies ist eine wichtige Einschränkung, da diese Zertifikatvorlagen mit Angeben in der Anforderung für den Zertifikatantragsteller konfiguriert werden müssen, was bedeutet, dass das Risiko eines Identitätswechsels besteht, wenn ein nicht autorisierter Benutzer oder ein kompromittiertes Gerät ein Zertifikat anfordert. In der Standardkonfiguration muss der Registrierungsdienst für Netzwerkgeräte eine solche Anforderung initiieren. Dieses Risiko eines Identitätswechsels bleibt jedoch bestehen, wenn der Dienst, der den Registrierungsdienst für Netzwerkgeräte ausführt, kompromittiert wird. Um dieses Risiko zu vermeiden, befolgen Sie alle bewährten Sicherheitsmethoden für den Registrierungsdienst für Netzwerkgeräte und den Computer, auf dem dieser Rollendienst ausgeführt wird.
Wenn die Standardsicherheitsberechtigungen Ihre Geschäftlichen Anforderungen nicht erfüllen, haben Sie eine weitere Option zum Konfigurieren der Sicherheitsberechtigungen für die Zertifikatvorlagen: Sie können Lese- und Registrierungsberechtigungen für Benutzer und Computer hinzufügen.
Hinzufügen von Lese- und Registrierungsberechtigungen für Benutzer und Computer
Das Hinzufügen von Lese- und Registrierungsberechtigungen für Benutzer und Computer kann angemessen sein, wenn ein separates Team ihr Infrastrukturteam für die Zertifizierungsstelle verwaltet und dieses separate Team Configuration Manager möchte, dass benutzer über ein gültiges Active Directory Domain Services-Konto verfügen, bevor ihnen ein Zertifikatprofil gesendet wird, um einen Benutzer anzufordern. Zertifikat. Für diese Konfiguration müssen Sie eine oder mehrere Sicherheitsgruppen angeben, die die Benutzer enthalten, und diesen Gruppen dann Lese- und Registrierungsberechtigungen für die Zertifikatvorlagen erteilen. In diesem Szenario verwaltet der Zertifizierungsstellenadministrator die Sicherheitskontrolle.
Auf ähnliche Weise können Sie eine oder mehrere Sicherheitsgruppen angeben, die Computerkonten enthalten, und diesen Gruppen Lese- und Registrierungsberechtigungen für die Zertifikatvorlagen erteilen. Wenn Sie ein Computerzertifikatprofil auf einem Computer bereitstellen, der ein Domänenmitglied ist, müssen dem Computerkonto dieses Computers Lese- und Registrierungsberechtigungen erteilt werden. Diese Berechtigungen sind nicht erforderlich, wenn der Computer kein Domänenmitglied ist. Beispielsweise, wenn es sich um einen Arbeitsgruppencomputer oder ein persönliches mobiles Gerät handelt.
Obwohl für diese Konfiguration eine andere Sicherheitskontrolle verwendet wird, wird diese nicht als bewährte Methode empfohlen. Der Grund dafür ist, dass die angegebenen Benutzer oder Besitzer der Geräte Zertifikate unabhängig von Configuration Manager anfordern und Werte für den Zertifikatantragsteller angeben können, die zum Annehmen der Identität eines anderen Benutzers oder Geräts verwendet werden können.
Wenn Sie außerdem Konten angeben, die zum Zeitpunkt der Zertifikatanforderung nicht authentifiziert werden können, schlägt die Zertifikatanforderung standardmäßig fehl. Beispielsweise tritt bei der Zertifikatanforderung ein Fehler auf, wenn sich der Server, auf dem der Registrierungsdienst für Netzwerkgeräte ausgeführt wird, in einer Active Directory-Gesamtstruktur befindet, die von der Gesamtstruktur, die den Standortsystemserver des Zertifikatregistrierungspunkts enthält, nicht vertrauenswürdig ist. Sie können den Zertifikatregistrierungspunkt so konfigurieren, dass er fortgesetzt wird, wenn ein Konto nicht authentifiziert werden kann, da es keine Antwort von einem Domänencontroller gibt. Dies ist jedoch keine bewährte Sicherheitsmethode.
Wenn der Zertifikatregistrierungspunkt für die Überprüfung auf Kontoberechtigungen konfiguriert ist und ein Domänencontroller verfügbar ist und die Authentifizierungsanforderung abgelehnt wird (z. B. wenn das Konto gesperrt oder gelöscht wurde), schlägt die Zertifikatregistrierungsanforderung fehl.
So überprüfen Sie die Lese- und Registrierungsberechtigungen für Benutzer und Domänenmitgliedscomputer
Erstellen Sie auf dem Standortsystemserver, auf dem der Zertifikatregistrierungspunkt gehostet wird, den folgenden DWORD-Registrierungsschlüssel mit dem Wert 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
Wenn ein Konto nicht authentifiziert werden kann, weil es keine Antwort von einem Domänencontroller gibt, und Sie die Berechtigungsprüfung umgehen möchten:
- Erstellen Sie auf dem Standortsystemserver, auf dem der Zertifikatregistrierungspunkt gehostet wird, den folgenden DWORD-Registrierungsschlüssel mit dem Wert 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
Fügen Sie auf der ausstellenden Zertifizierungsstelle auf der Registerkarte Sicherheit in den Eigenschaften für die Zertifikatvorlage eine oder mehrere Sicherheitsgruppen hinzu, um den Benutzer- oder Gerätekonten Lese- und Registrierungsberechtigungen zu erteilen.