Megosztás a következőn keresztül:

Tanúsítványsablon-engedélyek tervezése a Configuration Manager tanúsítványprofiljaihoz

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

Fontos

A 2203-es verziótól kezdődően ez a vállalati erőforrás-hozzáférési funkció már nem támogatott. További információ: Gyakori kérdések az erőforrás-hozzáférés elavulásáról.

Az alábbi információk segítségével megtervezheti, hogyan konfigurálhatja a tanúsítványprofilok telepítésekor Configuration Manager által használt tanúsítványsablonok engedélyeit.

Alapértelmezett biztonsági engedélyek és szempontok

Az Configuration Manager által a felhasználók és eszközök tanúsítványigényléséhez használt tanúsítványsablonokhoz szükséges alapértelmezett biztonsági engedélyek a következők:

  • A Hálózati eszközök tanúsítványigénylési szolgáltatásának alkalmazáskészlete által használt fiók olvasása és regisztrálása

  • Olvassa el a Configuration Manager-konzolt futtató fiókhoz

    További információ ezekről a biztonsági engedélyekről: Tanúsítványinfrastruktúra konfigurálása.

    Ha ezt az alapértelmezett konfigurációt használja, a felhasználók és eszközök nem kérhetnek közvetlenül tanúsítványokat a tanúsítványsablonokból, és minden kérést a hálózati eszközök tanúsítványigénylési szolgáltatásának kell kezdeményeznie. Ez egy fontos korlátozás, mivel ezeket a tanúsítványsablonokat a tanúsítvány tulajdonosának kérésében a Supply beállítással kell konfigurálni, ami azt jelenti, hogy fennáll a megszemélyesítés kockázata, ha egy rosszindulatú felhasználó vagy egy feltört eszköz tanúsítványt kér. Az alapértelmezett konfigurációban a hálózati eszközök tanúsítványigénylési szolgáltatásának kezdeményeznie kell egy ilyen kérést. Ez a megszemélyesítési kockázat azonban akkor is fennáll, ha a hálózati eszközök tanúsítványigénylési szolgáltatását futtató szolgáltatás biztonsága sérül. A kockázat elkerülése érdekében kövesse a Hálózati eszközök tanúsítványigénylési szolgáltatása és a szerepkör-szolgáltatást futtató számítógép biztonsági ajánlott eljárásait.

    Ha az alapértelmezett biztonsági engedélyek nem teljesítették az üzleti követelményeket, a tanúsítványsablonok biztonsági engedélyeinek konfigurálására is lehetősége van: Olvasási és regisztrálási engedélyeket adhat hozzá a felhasználókhoz és számítógépekhez.

Olvasási és regisztrálási engedélyek hozzáadása felhasználókhoz és számítógépekhez

Olvasási és regisztrálási engedélyek hozzáadása felhasználókhoz és számítógépekhez akkor lehet megfelelő, ha egy külön csapat kezeli a hitelesítésszolgáltató infrastruktúra-csapatát, és a külön csapat azt szeretné, hogy Configuration Manager ellenőrizze, hogy a felhasználók rendelkeznek-e érvényes Active Directory tartományi szolgáltatások fiókot, mielőtt tanúsítványprofilt küldene nekik a felhasználói tanúsítvány igényléséhez. Ehhez a konfigurációhoz meg kell adnia egy vagy több olyan biztonsági csoportot, amely tartalmazza a felhasználókat, majd olvasási és regisztrálási engedélyeket kell adnia ezeknek a csoportoknak a tanúsítványsablonokon. Ebben a forgatókönyvben a hitelesítésszolgáltató rendszergazdája kezeli a biztonsági vezérlőt.

Hasonlóképpen megadhat egy vagy több olyan biztonsági csoportot, amely számítógépfiókokat tartalmaz, és olvasási és regisztrálási engedélyeket adhat ezeknek a csoportoknak a tanúsítványsablonokon. Ha olyan számítógépre telepít számítógéptanúsítvány-profilt, amely tartományi tag, akkor a számítógép számítógépfiókjának Olvasási és Regisztrálási engedélyekkel kell rendelkeznie. Ezek az engedélyek nem szükségesek, ha a számítógép nem tartományi tag. Ha például munkacsoport számítógépről vagy személyes mobileszközről van szó.

Bár ez a konfiguráció más biztonsági vezérlőt használ, ajánlott eljárásként nem javasoljuk. Ennek az az oka, hogy a megadott felhasználók vagy az eszközök tulajdonosai a tanúsítványokat a Configuration Manager függetlenül kérhetik, és megadhatja a tanúsítvány tulajdonosának olyan értékeit, amelyek felhasználhatók egy másik felhasználó vagy eszköz megszemélyesítésére.

Emellett ha olyan fiókokat ad meg, amelyek nem hitelesíthetők a tanúsítványkérelem időpontjában, a tanúsítványkérelem alapértelmezés szerint sikertelen lesz. A tanúsítványkérés például sikertelen lesz, ha a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló olyan Active Directory-erdőben található, amely nem megbízható a tanúsítványregisztrációs pont helyrendszer-kiszolgálót tartalmazó erdő által. Konfigurálhatja a tanúsítványregisztrációs pontot a folytatáshoz, ha egy fiók nem hitelesíthető, mert nincs válasz egy tartományvezérlőtől. Ez azonban nem ajánlott biztonsági eljárás.

Ha a tanúsítványregisztrációs pont úgy van konfigurálva, hogy ellenőrizze a fiókengedélyeket, és elérhető egy tartományvezérlő, és elutasítja a hitelesítési kérést (például a fiókot zárolták vagy törölték), a tanúsítványigénylési kérelem sikertelen lesz.

Olvasási és regisztrálási engedélyek keresése felhasználók és tartománytag számítógépek esetén

  1. A tanúsítványregisztrációs pontot tároló helyrendszer-kiszolgálón hozza létre a következő DWORD beállításkulcsot, hogy a értéke 0 legyen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Ha egy fiók nem hitelesíthető, mert nincs válasz egy tartományvezérlőtől, és meg szeretné kerülni az engedélyek ellenőrzését:

    • A tanúsítványregisztrációs pontot üzemeltető helyrendszer-kiszolgálón hozza létre a következő DWORD beállításkulcsot, hogy az értéke 1 legyen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied

  3. A kiállító hitelesítésszolgáltató biztonság lapján, a tanúsítványsablon tulajdonságai között adjon hozzá egy vagy több biztonsági csoportot, hogy olvasási és regisztrálási engedélyeket adjon a felhasználói vagy eszközfiókoknak.