Machtigingen voor certificaatsjablonen plannen voor certificaatprofielen in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Belangrijk
Vanaf versie 2203 wordt deze functie voor bedrijfsresources niet meer ondersteund. Zie Veelgestelde vragen over afschaffing van resourcetoegang voor meer informatie.
De volgende informatie kan u helpen bij het plannen van het configureren van machtigingen voor de certificaatsjablonen die Configuration Manager gebruikt bij het implementeren van certificaatprofielen.
Standaardbeveiligingsmachtigingen en overwegingen
De standaardbeveiligingsmachtigingen die zijn vereist voor de certificaatsjablonen die Configuration Manager gebruikt om certificaten voor gebruikers en apparaten aan te vragen, zijn als volgt:
Lezen en inschrijven voor het account dat de groep van de registratieservice voor netwerkapparaten gebruikt
Lezen voor het account waarop de Configuration Manager-console wordt uitgevoerd
Zie Certificaatinfrastructuur configureren voor meer informatie over deze beveiligingsmachtigingen.
Wanneer u deze standaardconfiguratie gebruikt, kunnen gebruikers en apparaten geen certificaten rechtstreeks aanvragen bij de certificaatsjablonen en moeten alle aanvragen worden gestart door de registratieservice voor netwerkapparaten. Dit is een belangrijke beperking, omdat deze certificaatsjablonen moeten worden geconfigureerd met Levering in de aanvraag voor het certificaatOnderwerp, wat betekent dat er een risico op imitatie bestaat als een rogue gebruiker of een gecompromitteerd apparaat een certificaat aanvraagt. In de standaardconfiguratie moet de registratieservice voor netwerkapparaten een dergelijke aanvraag initiƫren. Dit risico van imitatie blijft echter bestaan als de service waarop de registratieservice voor netwerkapparaten wordt uitgevoerd, is gecompromitteerd. Om dit risico te voorkomen, volgt u alle aanbevolen beveiligingsprocedures voor de registratieservice voor netwerkapparaten en de computer waarop deze functieservice wordt uitgevoerd.
Als de standaardbeveiligingsmachtigingen niet voldoen aan uw bedrijfsvereisten, hebt u een andere optie voor het configureren van de beveiligingsmachtigingen voor de certificaatsjablonen: u kunt lees- en inschrijvingsmachtigingen toevoegen voor gebruikers en computers.
Machtigingen voor lezen en inschrijven toevoegen voor gebruikers en computers
Het toevoegen van lees- en inschrijvingsmachtigingen voor gebruikers en computers kan geschikt zijn als een afzonderlijk team het infrastructuurteam van uw certificeringsinstantie (CA) beheert en dat afzonderlijke team Configuration Manager wil om te controleren of gebruikers een geldig Active Directory Domain Services-account hebben voordat ze een certificaatprofiel verzenden om een gebruiker aan te vragen Certificaat. Voor deze configuratie moet u een of meer beveiligingsgroepen opgeven die de gebruikers bevatten en deze groepen vervolgens de machtigingen Lezen en Inschrijven verlenen voor de certificaatsjablonen. In dit scenario beheert de CA-beheerder het beveiligingsbeheer.
U kunt op dezelfde manier een of meer beveiligingsgroepen opgeven die computeraccounts bevatten en deze groepen lees- en inschrijvingsmachtigingen verlenen voor de certificaatsjablonen. Als u een computercertificaatprofiel implementeert op een computer die lid is van een domein, moet aan het computeraccount van die computer de machtigingen Lezen en Inschrijven worden verleend. Deze machtigingen zijn niet vereist als de computer geen domeinlid is. Bijvoorbeeld als het een werkgroepcomputer of een persoonlijk mobiel apparaat is.
Hoewel deze configuratie gebruikmaakt van een ander beveiligingsbesturingselement, raden we dit niet aan als aanbevolen procedure. De reden hiervoor is dat de opgegeven gebruikers of eigenaren van de apparaten onafhankelijk van Configuration Manager certificaten kunnen aanvragen en waarden kunnen opgeven voor het certificaatOnderwerp dat kan worden gebruikt om een andere gebruiker of een ander apparaat te imiteren.
Als u bovendien accounts opgeeft die niet kunnen worden geverifieerd op het moment dat de certificaataanvraag plaatsvindt, mislukt de certificaataanvraag standaard. De certificaataanvraag mislukt bijvoorbeeld als de server waarop de registratieservice voor netwerkapparaten wordt uitgevoerd zich in een Active Directory-forest bevindt dat niet wordt vertrouwd door het forest dat de sitesysteemserver van het certificaatregistratiepunt bevat. U kunt het certificaatregistratiepunt configureren om door te gaan als een account niet kan worden geverifieerd omdat er geen reactie van een domeincontroller is. Dit is echter geen aanbevolen procedure voor beveiliging.
Als het certificaatregistratiepunt is geconfigureerd om te controleren op accountmachtigingen en een domeincontroller beschikbaar is en de verificatieaanvraag weigert (het account is bijvoorbeeld vergrendeld of is verwijderd), mislukt de aanvraag voor certificaatinschrijving.
Controleren op lees- en inschrijvingsmachtigingen voor gebruikers en computers die lid zijn van een domein
Maak op de sitesysteemserver die als host fungeert voor het certificaatregistratiepunt de volgende DWORD-registersleutel met de waarde 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
Als een account niet kan worden geverifieerd omdat er geen reactie van een domeincontroller is en u de machtigingencontrole wilt omzeilen:
- Maak op de sitesysteemserver die als host fungeert voor het certificaatregistratiepunt de volgende DWORD-registersleutel met de waarde 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
Voeg op de verlenende CA op het tabblad Beveiliging in de eigenschappen voor de certificaatsjabloon een of meer beveiligingsgroepen toe om de gebruikers- of apparaataccounts lees- en inschrijvingsmachtigingen te verlenen.