Microsoft Identity Manager Certificate Manager 2016 (MIM CM) implementeren

De installatie van Microsoft Identity Manager Certificate Manager 2016 (MIM CM) omvat een aantal stappen. Als een manier om het proces te vereenvoudigen, gaan we dingen opsplitsen. Er zijn voorlopige stappen die moeten worden uitgevoerd voordat er daadwerkelijk MIM CM-stappen worden uitgevoerd. Zonder het voorbereidende werk zal de installatie waarschijnlijk mislukken.

In het onderstaande diagram ziet u een voorbeeld van het type omgeving dat kan worden gebruikt. De systemen met getallen worden opgenomen in de lijst onder het diagram en zijn vereist om de stappen in dit artikel te voltooien. Ten slotte worden Windows 2016 Datacenter-servers gebruikt:

1. CORPDC – Domeincontroller
2. CORPCM – MIM CM-server
3. CORPCA – Certificeringsinstantie
4. CORPCMR – MIM CM REST API Web – CM Portal for Rest API – Wordt gebruikt voor later
5. CORPSQL1 – SQL 2016 SP1
6. CORPWK1 - Windows 10-domein toegevoegd

Implementatieoverzicht

• Installatie van basisbesturingssysteem

  Het lab bestaat uit Windows 2016 Datacenter-servers.

  Notitie

  Zie het artikel Ondersteunde platforms voor MIM 2016 voor meer informatie over de ondersteunde platforms voor MIM 2016.

1. Stappen vóór de implementatie

   • Het schema uitbreiden

   • Serviceaccounts maken

   • Certificaatsjablonen maken

   • IIS

   • Kerberos configureren

   • Databasegerelateerde stappen

     • SQL-configuratievereisten

     • Databasemachtigingen

2. Implementatie

Stappen vóór de implementatie

De configuratiewizard voor MIM CM vereist dat er onderweg informatie wordt opgegeven om deze te kunnen voltooien.

Het schema uitbreiden

Het proces voor het uitbreiden van het schema is eenvoudig, maar moet met voorzichtigheid worden benaderd vanwege de onherstelbare aard ervan.

Notitie

Voor deze stap is vereist dat het gebruikte account schemabeheerdersrechten heeft.

1. Blader naar de locatie van de MIM-media en navigeer naar de map \Certificate Management\x64.

2. Kopieer de map Schema naar CORPDC en navigeer ernaartoe.

   

3. Voer het script resourceForestModifySchema.vbs uit voor een single Forest-scenario. Voer voor het resourceforestscenario de scripts uit:

   • DomainA – gebruikers gevonden (userForestModifySchema.vbs)

   • ResourceForestB – Locatie van CM-installatie (resourceForestModifySchema.vbs).

     Notitie

     Schemawijzigingen zijn een eenrichtingsproces en vereisen het herstel van een forest om terug te draaien, dus zorg ervoor dat u beschikt over de benodigde back-ups. Raadpleeg het artikel Forefront Identity Manager 2010 Certificate Management Schema Changes (Schemawijzigingen van Forefront Identity Manager 2010) voor meer informatie over de wijzigingen in het schema door deze bewerking uit te voeren

     

4. Voer het script uit en u ontvangt een bericht dat het script is voltooid.

   

Het schema in AD is nu uitgebreid ter ondersteuning van MIM CM.

Serviceaccounts en -groepen maken

De volgende tabel bevat een overzicht van de accounts en machtigingen die zijn vereist voor MIM CM. U kunt de MIM CM toestaan de volgende accounts automatisch te maken of u kunt deze maken vóór de installatie. De werkelijke accountnamen kunnen worden gewijzigd. Als u de accounts zelf maakt, kunt u overwegen om de gebruikersaccounts zodanig te benoemen dat het gemakkelijk is om de naam van het gebruikersaccount aan de bijbehorende functie te koppelen.

Gebruikers:

Rol	Aanmeldingsnaam van gebruiker
MIM CM-agent	MIMCMAgent
MIM CM-sleutelherstelagent	MIMCMKRAgent
MIM CM Autorisatie Agent	MIMCMAuthAgent
MIM CM CA Manager-agent	MIMCMManagerAgent
MIM CM-webgroepagent	MIMCMWebAgent
MIM CM Registratieagent	MIMCMEnrollAgent
MIM CM Update Service-dienst	MIMCMService
MIM-installatieaccount	MIMINSTALL
Helpdeskmedewerker	CMHelpdesk1-2
CM-manager	CMManager1-2
Abonneegebruiker	CMUser1-2

Groepen:

Rol	Groep
CM Helpdesk-leden	MIMCM-Helpdesk
CM Manager-leden	MIMCM-Managers
Leden van CM-abonnees	MIMCM-abonnees

Powershell: Agent Accounts:

import-module activedirectory
## Agent accounts used during setup
$cmagents = @{
"MIMCMKRAgent" = "MIM CM Key Recovery Agent"; 
"MIMCMAuthAgent" = "MIM CM Authorization Agent"
"MIMCMManagerAgent" = "MIM CM CA Manager Agent";
"MIMCMWebAgent" = "MIM CM Web Pool Agent";
"MIMCMEnrollAgent" = "MIM CM Enrollment Agent";
"MIMCMService" = "MIM CM Update Service";
"MIMCMAgent" = "MIM CM Agent";
}
##Groups Used for CM Management
$cmgroups = @{
"MIMCM-Managers" = "MIMCM-Managers"
"MIMCM-Helpdesk" = "MIMCM-Helpdesk"
"MIMCM-Subscribers" = "MIMCM-Subscribers" 
}
##Users Used during testlab
$cmusers = @{
"CMManager1" = "CM Manager1"
"CMManager2" = "CM Manager2"
"CMUser1" = "CM User1"
"CMUser2" = "CM User2"
"CMHelpdesk1" = "CM Helpdesk1"
"CMHelpdesk2" = "CM Helpdesk2"
}

## OU Paths
$aoupath = "OU=Service Accounts,DC=contoso,DC=com" ## Location of Agent accounts
$oupath = "OU=CMLAB,DC=contoso,DC=com" ## Location of Users and Groups for CM Lab


#Create Agents – Update UserprincipalName
$cmagents.GetEnumerator() | Foreach-Object { 
New-ADUser -Name $_.Name -Description $_.Value -UserPrincipalName ($_.Name + "@contoso.com")  -Path $aoupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}


#Create Users
$cmusers.GetEnumerator() | Foreach-Object { 
New-ADUser -Name $_.Name -Description $_.Value -Path $oupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}

Lokaal CORPCM-serverbeleid voor agentaccounts bijwerken

Aanmeldingsnaam van gebruiker	Beschrijving en machtigingen
MIMCMAgent	Biedt de volgende services: - Haalt versleutelde persoonlijke sleutels van de CA op. - Beschermt de pincodegegevens van smartcards in de FIM CM-database. - Beschermt de communicatie tussen FIM CM en de CA. Voor dit gebruikersaccount zijn de volgende instellingen voor toegangsbeheer vereist: - - uitgeven en beheren. - Lees- en schrijfmachtiging voor de map Temp van het systeem op de volgende locatie: %WINDIR%\Temp. - Een digitaal handtekening- en versleutelingscertificaat dat is uitgegeven en geïnstalleerd in het gebruikersarchief.
MIMCMKRAgent	Herstelt gearchiveerde persoonlijke sleutels van de CA. Voor dit gebruikersaccount zijn de volgende instellingen voor toegangsbeheer vereist: - Lokaal aanmelden toestaan.- Lidmaatschap van de lokale groep Administrators. - Schrijf de machtiging in voor de KeyRecoveryAgent-certificaatsjabloon . - Het Key Recovery Agent-certificaat wordt uitgegeven en geïnstalleerd in de gebruikersopslag. Het certificaat moet worden toegevoegd aan de lijst met sleutelherstelagents op de CA. - Leesmachtiging en Schrijfmachtiging voor de map Temp van het systeem op de volgende locatie: %WINDIR%\\Temp.
MIMCMAuthAgent	Bepaalt gebruikersrechten en machtigingen voor gebruikers en groepen. Voor dit gebruikersaccount zijn de volgende instellingen voor toegangsbeheer vereist: - Lidmaatschap van de domeingroep Pre-Windows 2000 Compatible Access. - De gebruikersrechten voor het genereren van beveiligingsaudits zijn verleend.
MIMCMManagerAgent	Voert CA-beheeractiviteiten uit. Aan deze gebruiker moet de machtiging CA beheren zijn toegewezen.
MIMCMWebAgent	Biedt de identiteit voor de IIS-toepassingspool. FIM CM wordt uitgevoerd binnen een Microsoft Win32® API-proces dat gebruikmaakt van de referenties van deze gebruiker. Voor dit gebruikersaccount zijn de volgende instellingen voor toegangsbeheer vereist: - Lidmaatschap van de lokale IIS_WPG, windows 2016 = IIS_IUSRS groep. - Lidmaatschap van de lokale Administrators groep. - Gebruikersrecht voor het genereren van beveiligingsaudits verleend. - De rol van handeling als onderdeel van het gebruikersrecht binnen het besturingssysteem toegekend. - Het gebruikersrecht Token op procesniveau vervangen verleend. - Toegewezen als de identiteit van de IIS-applicatiepool, CLMAppPool. - Leesmachtigingen verleend voor de registersleutel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CLM\v1.0\Server\WebUser . - Dit account moet tevens worden vertrouwd voor delegatie.
MIMCMEnrollAgent	Voert de inschrijving uit namens een gebruiker. Voor dit gebruikersaccount zijn de volgende instellingen voor toegangsbeheer vereist: : een inschrijvingsagentcertificaat dat is uitgegeven en geïnstalleerd in het gebruikersarchief. - Gebruikersrecht lokaal aanmelden toestaan. - Inschrijvingsbevoegdheid op de inschrijvingsagent-certificaatsjabloon (of de aangepaste sjabloon, als deze wordt gebruikt).

Certificaatsjablonen maken voor MIM CM-serviceaccounts

Voor drie van de serviceaccounts die door MIM CM worden gebruikt, is een certificaat vereist. Voor de configuratiewizard moet u de naam opgeven van de certificatensjablonen die moeten worden gebruikt om certificaten voor deze accounts aan te vragen.

De serviceaccounts waarvoor certificaten zijn vereist, zijn:

• MIMCMAgent: dit account heeft een gebruikerscertificaat nodig

• MIMCMEnrollAgent: dit account heeft een inschrijvingsagentcertificaat nodig

• MIMCMKRAgent: dit account heeft een sleutelherstelagentcertificaat nodig

Er zijn al sjablonen aanwezig in AD, maar we moeten onze eigen versies maken voor gebruik met MIM CM. Omdat we wijzigingen moeten aanbrengen op basis van de oorspronkelijke basislijnsjablonen.

Alle drie de bovenstaande accounts hebben verhoogde rechten binnen uw organisatie en moeten zorgvuldig worden afgehandeld.

De sjabloon voor het MIM CM-handtekeningcertificaat maken

1. Open Systeembeheer en open daarna Certificeringsinstantie.

2. Vouw in de console van de certificeringsinstantie in de consolestructuur Contoso-CorpCA uit en klik vervolgens op Certificaatsjablonen.

3. Klik met de rechtermuisknop op Certificaatsjablonen en klik vervolgens op Beheren.

4. Selecteer en klik met de rechtermuisknop op Gebruiker in het detailvenster van de console Certificaatsjablonen en klik vervolgens op Duplicate Template.

5. Selecteer Windows Server 2003 Enterprise in het dialoogvenster Sjabloon dupliceren en klik op OK.

   

   Notitie

   MIM CM werkt niet met certificaten op basis van versie 3-certificaatsjablonen. U moet een Windows Server® 2003 Enterprise-certificaatsjabloon (versie 2) maken. Zie V3-details voor meer informatie.

6. Typ in het dialoogvenster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen, in het vak Weergavenaam van de sjabloon, MIM CM Signing. Wijzig de geldigheidsperiode in 2 jaar en schakel het selectievakje 'Certificaat publiceren in Active Directory' uit.

7. Controleer op het tabblad Aanvraagafhandeling of het selectievakje Persoonlijke sleutel toestaan is ingeschakeld en klik vervolgens op het tabblad Cryptografie.

8. Schakel in het dialoogvenster Cryptografieselectie Microsoft Enhanced Cryptographic Provider v1.0 uit, schakel Microsoft Enhanced RSA en AES Cryptographic Provider in en klik op OK.

9. Schakel op het tabblad Onderwerpnaam de selectievakjes E-mailnaam opnemen in onderwerpnaam en E-mailnaam uit.

10. Zorg ervoor dat toepassingsbeleid is geselecteerd op het tabblad Extensies in de lijst Met extensies die zijn opgenomen in deze sjabloonlijst en klik vervolgens op Bewerken.

11. Selecteer in het dialoogvenster Toepassingsbeleidsextensie bewerken zowel het versleutelingsbestandssysteem als het beveiligde e-mail beleid. Klik op Verwijderen en klik vervolgens op OK.

12. Voer op het tabblad Beveiliging de volgende stappen uit:

    • Beheerder verwijderen.

    • Domeinadministratoren verwijderen.

    • Domeingebruikers verwijderen.

    • Wijs alleen lees- en schrijfmachtigingen toe aan ondernemingsbeheerders.

    • Voeg MIMCMAgent toe .

    • Wijs lees- en registratiemachtigingen toe aan MIMCMAgent.

13. Klik in het dialoogvenster Eigenschappen van nieuwe sjabloon op OK.

14. Laat de Certificate Templates Console geopend.

De certificaatsjabloon voor de MIM CM-inschrijvingsagent maken

1. Selecteer in de Certificaatsjablonen-console in het detailsvensterInschrijvingsagent, klik met de rechtermuisknop en klik vervolgens op Dupliceren van sjabloon.

2. Selecteer Windows Server 2003 Enterprise in het dialoogvenster Sjabloon dupliceren en klik op OK.

3. Typ in het dialoogvenster Eigenschappen van nieuwe sjabloon, op het tabblad Algemeen, in het vak Weergavenaam van sjabloonMIM CM-inschrijvingsagent. Zorg ervoor dat de geldigheidsperiode 2 jaar is.

4. Op het tabblad Aanvraagafhandeling schakelt u de optie Persoonlijke sleutel toestaan om geëxporteerd te worden in en klikt u vervolgens op CSP's of het tabblad Cryptografie.

5. Schakel in het dialoogvenster CSP-selectie Microsoft Base Cryptographic Provider v1.0 uit, schakel Microsoft Enhanced Cryptographic Provider v1.0 uit, schakel Microsoft Enhanced RSA en AES Cryptographic Provider in en klik op OK.

6. Voer op het tabblad Beveiliging het volgende uit:

   • Beheerder verwijderen.

   • Domeinadministratoren verwijderen.

   • Wijs alleen lees- en schrijfmachtigingen toe aan ondernemingsbeheerders.

   • Voeg MIMCMEnrollAgent toe.

   • Wijs lees- en inschrijvingsmachtigingen toe aan MIMCMEnrollAgent.

7. Klik in het dialoogvenster Eigenschappen van nieuwe sjabloon op OK.

8. Laat de Certificate Templates Console geopend.

De certificaatsjabloon voor de MIM CM Key Recovery Agent maken

1. In de console Certificaatsjablonen, in het detailvenster, selecteer en klik met de rechtermuisknop op Sleutelherstelagent en klik vervolgens op Sjabloon dupliceren.

2. Selecteer Windows Server 2003 Enterprise in het dialoogvenster Sjabloon dupliceren en klik op OK.

3. Typ in het dialoogvenster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen, in het vak Weergavenaam sjabloon, MIM CM Key Recovery Agent. Zorg ervoor dat de geldigheidsperiode 2 jaar is op het tabblad Cryptografie.

4. Schakel in het dialoogvenster Providers selecteren Microsoft Enhanced Cryptographic Provider v1.0 uit, schakel Microsoft Enhanced RSA en AES Cryptographic Provider in en klik op OK.

5. Controleer op het tabblad Uitgiftevereisten of goedkeuring van CA-certificaatbeheerder is uitgeschakeld.

6. Voer op het tabblad Beveiliging het volgende uit:

   • Beheerder verwijderen.

   • Domeinadministratoren verwijderen.

   • Wijs alleen lees- en schrijfmachtigingen toe aan ondernemingsbeheerders.

   • Voeg MIMCMKRAgent toe.

   • Wijs lees- en inschrijvingsmachtigingen toe aan KRAgent.

7. Klik in het dialoogvenster Eigenschappen van nieuwe sjabloon op OK.

8. Sluit de Certificaatsjablonenconsole.

De vereiste certificaatsjablonen publiceren bij de certificeringsinstantie

1. Herstel de console van de certificeringsinstantie .

2. Klik in de console van de certificeringsinstantie in de consolestructuur met de rechtermuisknop op Certificaatsjablonen, wijs op Nieuw en klik vervolgens op Certificaatsjabloon om uit te geven.

3. Selecteer in het dialoogvenster Certificaatsjablonen inschakelen de MIM CM-inschrijvingsagent, de MIM CM-sleutelherstelagent en de MIM CM-ondertekening. Klik op OK.

4. Klik in de consolestructuur op Certificaatsjablonen.

5. Controleer of de drie nieuwe sjablonen worden weergegeven in het detailvenster en sluit de certificeringsinstantie.

   

6. Sluit alle geopende vensters en meld u af.

IIS-configuratie

Als u de website voor CM wilt hosten, installeert en configureert u IIS.

IIS installeren en configureren

1. Meld u aan bij CORLog in als MIMINSTALL-account

   Belangrijk

   Het MIM-installatieaccount moet een lokale beheerder zijn

2. Open PowerShell en voer de volgende opdracht uit

   Install-WindowsFeature –ConfigurationFilePath

Notitie

Een site met de naam Standaardwebsite wordt standaard geïnstalleerd met IIS 7. Als de naam van die site is gewijzigd of verwijderd, moet de naam Standaardwebsite beschikbaar zijn voordat MIM CM kan worden geïnstalleerd.

Kerberos configureren

Het MIMCMWebAgent-account voert de MIM CM-portal uit. Standaard wordt in IIS authenticatie in de kernelmodus gebruikt. In plaats daarvan schakelt u verificatie in de Kerberos-kernelmodus uit en configureert u SPN's in het MIMCMWebAgent-account. Voor sommige opdrachten is verhoogde machtiging in Active Directory en CORPCM-server vereist.

#Kerberos settings
#SPN
SETSPN -S http/cm.contoso.com contoso\MIMCMWebAgent
#Delegation for certificate authority
Get-ADUser CONTOSO\MIMCMWebAgent | Set-ADObject -Add @{"msDS-AllowedToDelegateTo"="rpcss/CORPCA","rpcss/CORPCA.contoso.com"}

IIS bijwerken op CORPCM

add-pssnapin WebAdministration

Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name enabled -Value $true
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useKernelMode -Value $false
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useAppPoolCredentials -Value $true

Notitie

U moet een DNS A-record toevoegen voor de 'cm.contoso.com' en verwijzen naar CORPCM IP

SSL verplichten op de MIM CM-portal

Het wordt ten zeerste aanbevolen dat u SSL nodig hebt in de MIM CM-portal. Als u het niet doet, zal de wizard u er zelfs voor waarschuwen.

1. Schrijf je in voor webcertificaat voor cm.contoso.com toewijzen aan de standaardsite

2. Open IIS-beheer en navigeer naar Certificaatbeheer

3. Dubbelklik in het functieoverzicht op SSL-instellingen.

4. Op de pagina SSL-instellingen, selecteer SSL vereisen.

5. Klik in het deelvenster Acties op Toepassen.

DATABASEconfiguratie CORPSQL voor MIM CM

1. Zorg ervoor dat u bent verbonden met de CORPSQL01 Server.

2. Zorg ervoor dat u bent aangemeld als SQL DBA.

3. Voer het volgende T-SQL-script uit om het CONTOSO\MIMINSTALL-account toe te staan de database te maken wanneer we naar de configuratiestap gaan

   Notitie

   We moeten terugkeren naar SQL wanneer we klaar zijn voor de exit & policy-module

   create login [CONTOSO\\MIMINSTALL] from windows;
   exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'dbcreator';
   exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'securityadmin';  
   

Implementatie van Microsoft Identity Manager 2016 Certificate Management

1. Zorg ervoor dat u bent verbonden met de CORPCM-server en of het MIMINSTALL-account lid is van de lokale beheerdersgroep .

2. Zorg ervoor dat u bent aangemeld als Contoso\MIMINSTALL.

3. Monteer de Microsoft Identity Manager 2016 SP1 of een nieuwere versie servicepack-ISO.

4. Open de directory Certificate Management\x64.

5. Klik in het x64-venster met de rechtermuisknop op Setup en klik vervolgens op Uitvoeren als administrator.

6. Op de pagina 'Welkom bij de wizard Certificaatbeheer van Microsoft Identity Manager', klik op Volgende.

7. Lees de overeenkomst op de pagina Gebruiksrechtovereenkomst, schakel het selectievakje Ik ga akkoord met de voorwaarden in het selectievakje voor de gebruiksrechtovereenkomst in en klik op Volgende.

8. Controleer op de pagina Aangepaste installatie of de MIM CM-portal en de MIM CM Update Service-componenten zijn ingesteld om te worden geïnstalleerd en klik vervolgens op Volgende.

9. Controleer op de pagina Virtuele webmap of de naam van de virtuele map CertificateManagement is en klik vervolgens op Volgende.

10. Klik op de pagina Microsoft Identity Manager-certificaatbeheer installeren op Installeren.

11. Klik op Voltooien op de pagina Voltooid van de wizard Certificaatbeheer van Microsoft Identity Manager.

Configuratiewizard van Microsoft Identity Manager 2016 Certificate Management

Voordat u zich aanmeldt bij CORPCM, voegt u MIMINSTALL toe aan domeinadministrators, schemabeheerders en lokale beheerdersgroep voor de configuratiewizard. Dit kan later worden verwijderd zodra de configuratie is voltooid.

1. Klik in het menu Start op Certificaatbeheer Wizard. Uitvoeren als Administrator

2. Op de Welkom bij de Configuratie-wizard pagina, klik op Volgende.

3. Controleer op de pagina CA-configuratie of de geselecteerde CA Contoso-CORPCA-CA is, zorg ervoor dat de geselecteerde server CORPCA.CONTOSO.COM is en klik vervolgens op Volgende.

4. Typ op de pagina Microsoft® SQL Server® Database instellen in het vak Naam van SQL Server "CORPSQL1", schakel het selectievakje Mijn referenties gebruiken om de database te maken in, en klik vervolgens op Volgende.

5. Accepteer op de pagina Database-instellingen de standaarddatabasenaam van FIMCertificateManagement, zorg ervoor dat geïntegreerde SQL-verificatie is geselecteerd en klik vervolgens op Volgende.

6. Accepteer op de pagina Active Directory instellen de standaardnaam die is opgegeven voor het serviceaansluitpunt en klik vervolgens op Volgende.

7. Controleer op de pagina Verificatiemethode of geïntegreerde windows-verificatie is geselecteerd en klik vervolgens op Volgende.

8. Schakel op de pagina Agents – FIM CM het selectievakje Standaardinstellingen voor FIM CM gebruiken uit en klik vervolgens op Aangepaste accounts.

9. Typ in het dialoogvenster Agents – FIM CM met meerdere tabbladen op elk tabblad de volgende informatie:

   • Gebruikersnaam: Bijwerken

   • Wachtwoord: Pass@word1

   • Wachtwoord bevestigen: Pass@word1

   • Een bestaande gebruiker gebruiken: Ingeschakeld

     Notitie

     We hebben deze accounts eerder gemaakt. Zorg ervoor dat de procedures in stap 8 worden herhaald voor alle zes de tabbladen van het agentaccount.

     

10. Wanneer alle accountgegevens van de agent zijn voltooid, klikt u op OK.

11. Klik op de pagina Agents – MIM CM op Volgende.

12. Schakel op de pagina Servercertificaten instellen de volgende certificaatsjablonen in:

    • Certificaatsjabloon voor gebruik bij het certificaat van de agent voor sleutelherstel: MIMCMKeyRecoveryAgent.

    • Certificaatsjabloon die moet worden gebruikt voor het FIM CM Agent-certificaat: MIMCMSigning.

    • Certificaatsjabloon die moet worden gebruikt voor het certificaat van de inschrijvingsagent: FIMCMEnrollmentAgent.

13. Ga naar de pagina Servercertificaten instellen en klik op Volgende.

14. Op de pagina E-mailserver instellen, Document afdrukken, geeft u in het vak de naam op van de SMTP-server die u wilt gebruiken voor e-mailregistratiemeldingen en klikt u vervolgens op Volgende.

15. Klik op de pagina Gereed om te configureren op Configureren.

16. Klik in het dialoogvenster Configuratiewizard – Microsoft Forefront Identity Manager 2010 R2 op OK om te bevestigen dat SSL niet is ingeschakeld in de virtuele IIS-map.

    

    Notitie

    Klik pas op de knop Voltooien als de uitvoering van de configuratiewizard is voltooid. Logbestanden voor de installatiewizard vindt u hier: %programfiles%\Microsoft Forefront Identity Management\2010\Certificate Management\config.log

17. Klik op Voltooien.

    

18. Sluit alle geopende vensters.

19. Voeg https://cm.contoso.com/certificatemanagement toe aan de lokale intranetzone in uw browser.

20. Bezoek de site van server CORPCM https://cm.contoso.com/certificatemanagement

    

De CNG-sleutelisolatieservice controleren

1. Vanuit Systeembeheer, open Services.

2. Dubbelklik in het detailvenster op CNG-sleutelisolatie.

3. Wijzig op het tabblad Algemeen het opstarttype in Automatisch.

4. Start de service op het tabblad Algemeen als deze niet gestart is.

5. Klik op het tabblad Algemeen op OK.

De CA-modules installeren en configureren:

In deze stap installeren en configureren we de FIM CM CA-modules op de certificeringsinstantie.

1. FIM CM configureren om alleen gebruikersmachtigingen voor beheerbewerkingen te controleren

2. Maak in het venster C:\Program Files\Microsoft Forefront Identity Manager\2010\Certificate Management\web een kopie van web.config met de naam web.1.config.

3. Klik in het webvenster met de rechtermuisknop op Web.config en klik vervolgens op Openen.

   Notitie

   Het bestand web.config wordt geopend in kladblok.

4. Druk op Ctrl+F wanneer het bestand wordt geopend.

5. Typ UseUser in het dialoogvenster Zoeken en vervangen in het vak Zoeken naar en klik vervolgens drie keer op Volgende zoeken.

6. Sluit het dialoogvenster Zoeken en vervangen .

7. U moet in de regel <add key="Clm.RequestSecurity.Flags" value="UseUser,UseGroups" />. Wijzig de regel zodat deze leest <add key="Clm.RequestSecurity.Flags" value="UseUser" />.

8. Sluit het bestand en slaat alle wijzigingen op.

9. Maak een account voor de CA-computer op de SQL-server <zonder script>

10. Zorg ervoor dat u bent verbonden met de CORPSQL01-server .

11. Zorg ervoor dat u bent aangemeld als DBA

12. Start SQL Server Management Studio vanuit het menu Start.

13. Typ in het dialoogvenster Verbinding maken met server in het vak Servernaam CORPSQL01 en klik vervolgens op Verbinding maken.

14. Vouw in de consolestructuur Beveiliging uit en klik vervolgens op Aanmeldingen.

15. Klik met de rechtermuisknop op Aanmeldingen en klik vervolgens op Nieuwe aanmelding.

16. Typ contoso\CORPCA$ in het vak Aanmeldingsnaam op de pagina Algemeen. Selecteer Windows-verificatie. De standaarddatabase is FIMCertificateManagement.

17. Selecteer in het linkerdeelvenster Gebruikerstoewijzing. Klik in het rechterdeelvenster op het selectievakje in de kolom Kaart naast FIMCertificateManagement. Schakel in de lijst met databaserollen voor: FIMCertificateManagement de rol clmApp in.

18. Klik op OK.

19. Sluit Microsoft SQL Server Management Studio.

De FIM CM CA-modules installeren op de certificeringsinstantie

1. Zorg ervoor dat u bent verbonden met de CORPCA-server .

2. Klik in de X64-vensters met de rechtermuisknop op Setup.exe en klik vervolgens op Als administrator uitvoeren.

3. Klik op de pagina Welkom bij de wizard Certificaatbeheer van Microsoft Identity Manager op Volgende.

4. Op de pagina Gebruiksrechtovereenkomst, lees de overeenkomst. Schakel het selectievakje Ik ga akkoord met de voorwaarden in de gebruiksrechtovereenkomst in en klik vervolgens op Volgende.

5. Selecteer op de pagina Aangepaste instelling de MIM CM-portal en klik vervolgens op Deze functie is niet beschikbaar.

6. Selecteer op de pagina Aangepaste installatie de optie MIM CM Update Service en klik vervolgens op Deze functie is niet beschikbaar.

   Notitie

   Hierdoor blijven de MIM CM CA-bestanden beschikbaar als de enige functie die is ingeschakeld voor de installatie.

7. Klik op de pagina Aangepaste instelling op Volgende.

8. Klik op de pagina Microsoft Identity Manager-certificaatbeheer installeren op Installeren.

9. Klik op de pagina Voltooien van de Microsoft Identity Manager Certificaatbeheerinstallatiewizard op Voltooien.

10. Sluit alle geopende vensters.

De MIM CM-afsluitmodule configureren

1. Open Systeembeheer en open daarna Certificeringsinstantie.

2. Klik in de consolestructuur met de rechtermuisknop op contoso-CORPCA-CA en klik vervolgens op Eigenschappen.

3. Klik op het tabblad Exit Module, selecteer FIM CM Exit Module en klik vervolgens op Eigenschappen.

4. Typ in het vak Verbindingsreeks CM-database opgeven de volgende gegevens: Connect Timeout=15; Persist Security Info=True; Integrated Security=SSPI; Initial Catalog=FIMCertificateManagement; Data Source=CORPSQL01. Laat het selectievakje De verbindingsreeks versleutelen ingeschakeld en klik op OK.

5. Klik in het Microsoft FIM-certificaatbeheer berichtvenster op OK.

6. Klik in het dialoogvenster contoso-CORPCA-CA-eigenschappen op OK.

7. Klik met de rechtermuisknop op contoso-CORPCA-CA, wijs Alle Taken aan en klik vervolgens op Stop Service. Wacht tot Active Directory Certificate Services stopt.

8. Klik met de rechtermuisknop op contoso-CORPCA-CA, wijs Alle taken aan en klik vervolgens op Service starten.

9. Minimaliseer de console van de certificeringsinstantie .

10. Vanuit Administratieve Hulpprogramma's, open Logboeken.

11. Vouw in de consolestructuur toepassings- en serviceslogboeken uit en klik vervolgens op FIM-certificaatbeheer.

12. Controleer in de lijst met gebeurtenissen of de meest recente gebeurtenissen geen waarschuwings- of fout-gebeurtenissen bevatten sinds de laatste herstart van Certificate Services.

    Notitie

    De laatste gebeurtenis moet aangeven dat de afsluitmodule is geladen met behulp van instellingen van: SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ContosoRootCA\ExitModules\Clm.Exit

13. Minimaliseer de Evenementenlogboek.

De vingerafdruk van het MIMCMAgent-certificaat naar het Windows-klembord® kopiëren

1. Herstel de console van de certificeringsinstantie .

2. Vouw in de consolestructuur contoso-CORPCA-CA uit en klik vervolgens op Uitgegeven certificaten.

3. Dubbelklik in het detailvenster op het certificaat met CONTOSO\MIMCMAgent in de kolom Requester Name en met FIM CM-ondertekening in de kolom Certificaatsjabloon.

4. Selecteer op het tabblad Details het veld Vingerafdruk .

5. Selecteer de vingerafdruk en druk op Ctrl+C.

   Notitie

   Neem de voorloopruimte niet op in de lijst met vingerafdruktekens.

6. Klik in het dialoogvenster Certificaat op OK.

7. Open het menu Start en typ in het vak Programma's en bestanden zoekenKladblok, en druk dan op ENTER.

8. Klik in Kladblok in het menu Bewerken op Plakken.

9. Klik in het menu Bewerken op Vervangen.

10. Typ in het vak Zoeken naar een spatieteken en klik vervolgens op Alles vervangen.

    Notitie

    Hiermee verwijdert u alle spaties tussen de tekens in de vingerafdruk.

11. Klik in het dialoogvenster Vervangen op Annuleren.

12. Selecteer de geconverteerde vingerafdruktekenreeks en druk op Ctrl+C.

13. Sluit Kladblok zonder wijzigingen op te slaan.

De FIM CM-beleidsmodule configureren

1. Herstel de console van de certificeringsinstantie .

2. Klik met de rechtermuisknop op contoso-CORPCA-CA en klik vervolgens op Eigenschappen.

3. Klik in het dialoogvenster contoso-CORPCA-CA-eigenschappen op het tabblad Beleidsmodule op Eigenschappen.

   • Controleer op het tabblad Algemeen of niet-FIM CM-aanvragen doorgeven aan de standaardbeleidsmodule voor verwerking is geselecteerd.

   • Klik op het tabblad Handtekeningcertificaten op Toevoegen.

   • Klik in het dialoogvenster Certificaat met de rechtermuisknop op het vak Hex-gecodeerde certificaathash opgeven en klik vervolgens op Plakken.

   • Klik in het dialoogvenster Certificaat op OK.

     Notitie

     Als de knop OK niet is ingeschakeld, hebt u per ongeluk een verborgen teken in de vingerafdruktekenreeks opgenomen toen u de vingerafdruk uit het clmAgent-certificaat hebt gekopieerd. Herhaal alle stappen vanaf Taak 4: Kopieer de vingerafdruk van het MIMCMAgent-certificaat naar het Windows Klembord in deze oefening.

4. Controleer in het dialoogvenster Configuratie-eigenschappen of de vingerafdruk wordt weergegeven in de lijst Geldige handtekeningcertificaten en klik op OK.

5. Klik in het berichtvenster van FIM Certificate Management op OK.

6. Klik in het dialoogvenster contoso-CORPCA-CA-eigenschappen op OK.

7. Klik met de rechtermuisknop op contoso-CORPCA-CA, wijs Alle Taken aan en klik vervolgens op Stop Service.

8. Wacht tot Active Directory Certificate Services stopt.

9. Klik met de rechtermuisknop op contoso-CORPCA-CA, wijs Alle taken aan en klik vervolgens op Service starten.

10. Sluit de console van de certificeringsinstantie .

11. Sluit alle geopende vensters en meld u af.

De laatste stap in de implementatie is dat we ervoor willen zorgen dat CONTOSO\MIMCM-Managers sjablonen kunnen implementeren en maken en het systeem kunnen configureren zonder schema en domeinadministratoren te zijn. Het volgende script zal ACL instellen voor de machtigingen op de certificaatsjablonen door middel van dsacls. Voer dit uit met een account met volledige machtigingen voor het wijzigen van lees- en schrijfmachtigingen voor beveiliging voor elke bestaande certificaatsjabloon in het forest.

Eerste stappen: Machtigingen voor serviceaansluitpunt en doelgroep configureren en profielsjabloonbeheer delegeren

1. Machtigingen voor het serviceaansluitpunt (SCP) configureren.

2. Configureer gedelegeerd profielsjabloonbeheer.

3. Machtigingen voor het serviceaansluitpunt (SCP) configureren. <geen script>

4. Zorg ervoor dat u bent verbonden met de virtuele CORPDC-server .

5. Aanmelden als contoso\corpadmin

6. Open Beheertools en daarna Active Directory-gebruikers en -computers.

7. In Active Directory Gebruikers en Computers, op het menu Beeld, controleer of Geavanceerde functies ingeschakeld is.

8. Vouw in de consolestructuur Contoso.com | System | Microsoft | Certificate Lifecycle Manager uit en klik vervolgens op CORPCM.

9. Klik met de rechtermuisknop op CORPCM en klik vervolgens op Eigenschappen.

10. Voeg in het dialoogvenster CORPCM-eigenschappen op het tabblad Beveiliging de volgende groepen toe met de bijbehorende machtigingen:

    Groep	Machtigingen
    mimcm-Managers	Lees FIM CM Audit FIM CM Enrollment Agent FIM CM Request Enroll FIM CM Request Recover FIM CM Request Renew FIM CM Request Revoke FIM CM Request Unblock Smartcard
    mimcm-Helpdesk	Lees FIM CM-aanmeldingsagent FIM CM-aanvraag intrekken FIM CM-aanvraag voor het deblokkeren van een smartcard

11. Klik in het dialoogvenster CORPDC-eigenschappen op OK.

12. Laat Active Directory Users and Computers open.

Machtigingen configureren voor de onderliggende gebruikersobjecten

1. Zorg ervoor dat u zich nog steeds in de Active Directory Gebruikers en Computers-console bevindt.

2. Klik in de consolestructuur met de rechtermuisknop op Contoso.com en klik vervolgens op Eigenschappen.

3. Klik op het tabblad Beveiliging op Geavanceerd.

4. Klik in het dialoogvenster Geavanceerde beveiligingsinstellingen voor Contoso op Toevoegen.

5. Typ mimcm-Managers in het vak De objectnaam invoeren die u wilt selecteren in het dialoogvenster Gebruiker, Computer, Serviceaccount of Groep selecteren en klik vervolgens op OK.

6. Selecteer in het dialoogvenster Machtigingsvermelding voor Contoso, in de lijst Toepassen op, de onderliggende gebruikersobjecten en schakel vervolgens het selectievakje Toestaan in voor de volgende machtigingen:

   • Alle eigenschappen lezen

   • Leesmachtigingen

   • FIM CM-audit

   • FIM CM Aanmeldingsagent

   • FIM CM-aanvraag registreren

   • FIM CM-Aanvraag Herstellen

   • FIM CM-aanvraag vernieuwen

   • FIM CM-aanvraag intrekken

   • FIM CM-aanvraag smartcard deblokkeren

7. Klik in het dialoogvenster Machtigingsvermelding voor Contoso op OK.

8. Klik in het dialoogvenster Geavanceerde beveiligingsinstellingen voor Contoso op Toevoegen.

9. Typ mimcm-HelpDesk in het dialoogvenster Gebruiker, Computer, Serviceaccount of Groep selecteren in het vak De objectnaam invoeren die u wilt selecteren en klik vervolgens op OK.

10. Selecteer in het dialoogvenster Machtigingsvermelding voor Contoso, in de lijst Toepassen op, de onderliggende gebruikersobjecten en schakel vervolgens het selectievakje Toestaan in voor de volgende machtigingen:

    • Alle eigenschappen lezen

    • Leesmachtigingen

    • FIM CM Aanmeldingsagent

    • FIM CM-aanvraag intrekken

    • FIM CM-aanvraag smartcard deblokkeren

11. Klik in het dialoogvenster Machtigingsvermelding voor Contoso op OK.

12. Klik in het dialoogvenster Geavanceerde beveiligingsinstellingen voor Contoso op OK.

13. Klik in het dialoogvenster contoso.com Eigenschappen op OK.

14. Laat Active Directory Users and Computers open.

Machtigingen configureren voor de onderliggende gebruikersobjecten <zonder script>

1. Zorg ervoor dat u zich nog steeds in de Active Directory Gebruikers en Computers-console bevindt.

2. Klik in de consolestructuur met de rechtermuisknop op Contoso.com en klik vervolgens op Eigenschappen.

3. Klik op het tabblad Beveiliging op Geavanceerd.

4. Klik in het dialoogvenster Geavanceerde beveiligingsinstellingen voor Contoso op Toevoegen.

5. Typ mimcm-Managers in het vak De objectnaam invoeren die u wilt selecteren in het dialoogvenster Gebruiker, Computer, Serviceaccount of Groep selecteren en klik vervolgens op OK.

6. Selecteer in het dialoogvenster Machtigingsvermelding voor CONTOSO, in de lijst Toepassen op, afgeleide gebruikersobjecten en schakel vervolgens het selectievakje Toestaan in voor de volgende machtigingen:

   • Alle eigenschappen lezen

   • Leesmachtigingen

   • FIM CM-audit

   • FIM CM Aanmeldingsagent

   • FIM CM-aanvraag registreren

   • FIM CM-Aanvraag Herstellen

   • FIM CM-aanvraag vernieuwen

   • FIM CM-aanvraag intrekken

   • Verzoek om FIM CM smartcard te deblokkeren

7. Klik in het dialoogvenster Machtigingsvermelding voor CONTOSO op OK.

8. Klik in het dialoogvenster Geavanceerde beveiligingsinstellingen voor CONTOSO op Toevoegen.

9. Typ mimcm-HelpDesk in het dialoogvenster Gebruiker, Computer, Serviceaccount of Groep selecteren in het vak De objectnaam invoeren die u wilt selecteren en klik vervolgens op OK.

10. Selecteer in het dialoogvenster Machtigingsvermelding voor CONTOSO, in de lijst Toepassen op, selecteer onderliggende gebruikersobjecten en schakel vervolgens het selectievakje Toestaan in voor de volgende machtigingen:

    • Alle eigenschappen lezen

    • Leesmachtigingen

    • FIM CM Aanmeldingsagent

    • FIM CM-aanvraag intrekken

    • FIM CM-aanvraag om smartcard te deblokkeren

11. Klik in het dialoogvenster Machtigingsvermelding voor contoso op OK.

12. Klik in het dialoogvenster Geavanceerde beveiligingsinstellingen voor Contoso op OK.

13. Klik in het dialoogvenster contoso.com Eigenschappen op OK.

14. Laat Active Directory Users and Computers open.

Volgende stappen: Script voor het delegeren van certificaatsjabloon beheerrechten <>

• Machtigingen delegeren voor de container met certificaatsjablonen.

• Machtigingen voor de OID-container delegeren.

• Machtigingen voor de bestaande certificaatsjablonen delegeren.

Machtigingen definiëren voor de container Certificaatsjablonen:

1. Herstel de Active Directory Sites en Services Console.

2. Vouw Services in de consolestructuur uit, vouw Openbare sleutelservices uit en klik vervolgens op Certificaatsjablonen.

3. Klik in de consolestructuur met de rechtermuisknop op Certificaatsjablonen en klik vervolgens op Beheer delegeren.

4. Klik in de wizard Beheer delegeren op Volgende.

5. Klik op de pagina Gebruikers of groepen op Toevoegen.

6. In het dialoogvenster Gebruikers, computers of groepen selecteren, typ mimcm-Managers in het vak Objectnamen invoeren die u wilt selecteren en klik vervolgens op OK.

7. Klik op de pagina Gebruikers of Groepen op Volgende.

8. Klik op de pagina Taken die u wilt delegeren op Een aangepaste taak maken en klik vervolgens op Volgende.

9. Controleer op de pagina Active Directory-objecttype of deze map, bestaande objecten in deze map en het maken van nieuwe objecten in deze map is geselecteerd en klik vervolgens op Volgende.

10. Schakel op de pagina Machtigingen in de lijst Machtigingen het selectievakje Volledig beheer in en klik op Volgende.

11. Klik op de Voltooien van de Wizard Delegering van Controle-pagina op Voltooien.

Machtigingen definiëren voor de OID-container:

1. Klik in de consolestructuur met de rechtermuisknop op OID en klik vervolgens op Eigenschappen.

2. Klik in het dialoogvenster OID-eigenschappen op het tabblad Beveiliging op Geavanceerd.

3. Klik in het dialoogvenster Geavanceerde beveiligingsinstellingen voor OID op Toevoegen.

4. Typ mimcm-Managers in het vak De objectnaam invoeren die u wilt selecteren in het dialoogvenster Gebruiker, Computer, Serviceaccount of Groep selecteren en klik vervolgens op OK.

5. Controleer in het dialoogvenster Machtigingsvermelding voor OID of de machtigingen van toepassing zijn op dit object en alle onderliggende objecten, klik op Volledig beheer en klik vervolgens op OK.

6. Klik in het dialoogvenster Geavanceerde beveiligingsinstellingen voor OID op OK.

7. Klik in het dialoogvenster OID-eigenschappen op OK.

8. Sluit Active Directory-sites en -services.

Scripts: Machtigingen voor de container OID, profielsjabloon en certificaatsjablonen

import-module activedirectory
$adace = @{
"OID" = "AD:\\CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"CT" = "AD:\\CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"PT" = "AD:\\CN=Profile Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com"
}
$adace.GetEnumerator() | **Foreach-Object** {
$acl = **Get-Acl** *-Path* $_.Value
$sid=(**Get-ADGroup** "MIMCM-Managers").SID
$p = **New-Object** System.Security.Principal.SecurityIdentifier($sid)
##https://msdn.microsoft.com/library/system.directoryservices.activedirectorysecurityinheritance(v=vs.110).aspx
$ace = **New-Object** System.DirectoryServices.ActiveDirectoryAccessRule
($p,[System.DirectoryServices.ActiveDirectoryRights]"GenericAll",[System.Security.AccessControl.AccessControlType]::Allow,
[DirectoryServices.ActiveDirectorySecurityInheritance]::All)
$acl.AddAccessRule($ace)
**Set-Acl** *-Path* $_.Value *-AclObject* $acl
}

Scripts: Machtigingen delegeren voor de bestaande certificaatsjablonen.

dsacls "CN=Administrator,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CAExchange,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CEPEncryption,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ClientAuth,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CodeSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CrossCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CTLSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DirectoryEmailReplication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DomainController,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DomainControllerAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EFS,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EFSRecovery,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EnrollmentAgentOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ExchangeUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ExchangeUserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMKeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=IPSecIntermediateOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=IPSecIntermediateOnline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=KerberosAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=KeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=Machine,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=MachineEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=OCSPResponseSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=OfflineRouter,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=RASAndIASServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SmartCardLogon,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SmartCardUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SubCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=User,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=UserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=WebServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=Workstation,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO