Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Установка Microsoft Identity Manager Certificate Manager 2016 (MIM CM) включает ряд шагов. Чтобы упростить процесс, мы разбиваем это на части. Перед любыми фактическими шагами MIM CM необходимо выполнить предварительные действия. Без предварительной работы установка, вероятно, завершится неудачей.
На приведенной ниже схеме показан пример типа среды, которую можно использовать. Системы с номерами включены в список ниже схемы и необходимы для успешного выполнения действий, описанных в этой статье. Наконец, используются серверы Центра обработки данных Windows 2016:
- CORPDC — контроллер домена
- CORPCM — сервер MIM CM
- CORPCA — центр сертификации
- CORPCMR — веб-сайт REST API MIM CM — портал CM для REST API — используется позже.
- CORPSQL1 — SQL 2016 с пакетом обновления 1 (SP1)
- CORPWK1 — присоединен к домену Windows 10
Общие сведения о развертывании
Установка базовой операционной системы
Лаборатория состоит из серверов центра обработки данных Windows 2016.
Примечание.
Дополнительные сведения о поддерживаемых платформах для MIM 2016 см. в статье о поддерживаемых платформах MIM 2016.
Этапы предварительного развертывания
Создание учетных записей служб
IIS
Настройка Kerberos
Действия, связанные с базой данных
Требования к конфигурации SQL
Разрешения базы данных
Развертывание
Этапы предварительного развертывания
Мастер конфигурации MIM CM требует предоставления сведений по пути, чтобы он был успешно завершен.
Расширение схемы
Процесс расширения схемы является простым, но его необходимо подойти с осторожностью из-за его необратимой природы.
Примечание.
На этом шаге требуется, чтобы используемая учетная запись имеет права администратора схемы.
Найдите расположение носителя MIM и откройте папку \Certificate Management\x64.
Скопируйте папку схемы в CORPDC и перейдите к ней.
Запустите сценарий resourceForestModifySchema.vbs в режиме одного леса. Для сценария леса ресурсов выполните скрипты:
DomainA — пользователи, расположенные (userForestModifySchema.vbs)
ResourceForestB — местоположение установки CM (resourceForestModifySchema.vbs).
Примечание.
Изменения схемы являются однонаправленной операцией и требуют восстановления леса для отката изменений, поэтому убедитесь, что у вас есть необходимые резервные копии. Дополнительные сведения об изменениях, внесенных в схему в результате выполнения этой операции, см. в статье Forefront Identity Manager 2010 Certificate Management Schema Changes
Запустите скрипт, и вы должны получить сообщение об успешном выполнении скрипта.
Схема в AD теперь расширена для поддержки MIM CM.
Создание учетных записей служб и групп
В следующей таблице перечислены учетные записи и разрешения, необходимые для MIM CM. Вы можете разрешить MIM CM автоматически создавать следующие учетные записи или создавать их перед установкой. Фактические имена учетных записей можно изменить. Если вы создаете учетные записи самостоятельно, рассмотрите возможность именования учетных записей пользователей, чтобы легко сопоставить имя учетной записи пользователя с ее функцией.
Пользователи:
| Роль | Имя входа пользователя |
|---|---|
| Агент MIM CM | MIMCMAgent |
| Агент восстановления ключей MIM CM | MIMCMKRAgent |
| Агент авторизации MIM CM | MIMCMAuthAgent |
| Агент управляющего CA CM MIM | MIMCMManagerAgent |
| Агент веб-пула MIM CM | MIMCMWebAgent |
| Агент регистрации MIM CM | MIMCMEnrollAgent |
| Служба обновления MIM CM | MIMCMService |
| Учетная запись установки MIM | MIMINSTALL |
| Агент службы технической поддержки | CMHelpdesk1-2 |
| Менеджер CM | CMManager1-2 |
| Пользователь-подписчик | CMUser1-2 |
Группы.
| Роль | Группа |
|---|---|
| Члены службы технической поддержки CM | MIMCM-Служба поддержки |
| Участники руководства CM | MIMCM-Менеджеры |
| Члены подписчиков CM | MIMCM-Подписчики |
Powershell: учетные записи агента:
import-module activedirectory
## Agent accounts used during setup
$cmagents = @{
"MIMCMKRAgent" = "MIM CM Key Recovery Agent";
"MIMCMAuthAgent" = "MIM CM Authorization Agent"
"MIMCMManagerAgent" = "MIM CM CA Manager Agent";
"MIMCMWebAgent" = "MIM CM Web Pool Agent";
"MIMCMEnrollAgent" = "MIM CM Enrollment Agent";
"MIMCMService" = "MIM CM Update Service";
"MIMCMAgent" = "MIM CM Agent";
}
##Groups Used for CM Management
$cmgroups = @{
"MIMCM-Managers" = "MIMCM-Managers"
"MIMCM-Helpdesk" = "MIMCM-Helpdesk"
"MIMCM-Subscribers" = "MIMCM-Subscribers"
}
##Users Used during testlab
$cmusers = @{
"CMManager1" = "CM Manager1"
"CMManager2" = "CM Manager2"
"CMUser1" = "CM User1"
"CMUser2" = "CM User2"
"CMHelpdesk1" = "CM Helpdesk1"
"CMHelpdesk2" = "CM Helpdesk2"
}
## OU Paths
$aoupath = "OU=Service Accounts,DC=contoso,DC=com" ## Location of Agent accounts
$oupath = "OU=CMLAB,DC=contoso,DC=com" ## Location of Users and Groups for CM Lab
#Create Agents – Update UserprincipalName
$cmagents.GetEnumerator() | Foreach-Object {
New-ADUser -Name $_.Name -Description $_.Value -UserPrincipalName ($_.Name + "@contoso.com") -Path $aoupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}
#Create Users
$cmusers.GetEnumerator() | Foreach-Object {
New-ADUser -Name $_.Name -Description $_.Value -Path $oupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}
Обновление локальной политики СЕРВЕРА CORPCM для учетных записей агента
| Имя входа пользователя | Описание и разрешения |
|---|---|
| MIMCMAgent | Предоставляет следующие службы: Извлекает зашифрованные закрытые ключи из УЦ. — защищает сведения о ПИН-коде смарт-карты в базе данных FIM CM. — защищает обмен данными между FIM CM и ЦС. Для этой учетной записи пользователя требуются следующие параметры управления доступом: - Право на локальный вход в систему. - Право на выпуск и управление сертификатами. — Разрешение на чтение и запись в системной папке Temp в следующем расположении: %WINDIR%\Temp. — сертификат цифровой подписи и шифрования, выданный и установленный в хранилище пользователей. |
| MIMCMKRAgent | Восстанавливает архивированные закрытые ключи из Центра Сертификации. Для этой учетной записи пользователя требуются следующие параметры управления доступом: - право пользователя на локальную авторизацию. — Членство в локальной группе Администраторов. — Разрешение на регистрацию шаблона сертификата KeyRecoveryAgent . — Сертификат агента восстановления ключей выдан и установлен в пользовательском хранилище. Сертификат необходимо добавить в список агентов восстановления ключей в Центре сертификации. — Разрешение на чтение и запись в системной папке Temp в следующем расположении: %WINDIR%\\Temp. |
| MIMCMAuthAgent | Определяет права и разрешения пользователей для пользователей и групп. Для этой учетной записи пользователя требуются следующие параметры управления доступом: - членство в группе домена "Совместимый доступ для версий Windows до 2000". — предоставлено пользовательское право "Создание аудита безопасности". |
| MIMCMManagerAgent | Выполняет действия по управлению центром сертификации.
Этому пользователю следует назначить разрешение "Управление ЦС". |
| MIMCMWebAgent | Предоставляет идентификатор для пула приложений IIS. FIM CM выполняется в процессе программирования приложения Microsoft Win32®, использующего учетные данные этого пользователя.
Для этой учетной записи пользователя требуются следующие параметры управления доступом: членство в локальной IIS_WPG, windows 2016 = IIS_IUSRS группе. — членство в локальной группе администраторов . — предоставлено право пользователя "Создать аудит безопасности". — предоставлено действие в качестве права пользователя операционной системы. — предоставлено право пользователя замены маркера уровня процесса. — назначено в качестве идентификатора пула приложений IIS, CLMAppPool. — предоставлено разрешение на чтение на ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CLM\v1.0\Server\WebUser. — Эта учетная запись также должна иметь доверие для делегирования. |
| MIMCMEnrollAgent | Выполняет регистрацию от имени пользователя. Этой учетной записи пользователя необходимы следующие настройки управления доступом: сертификат агента регистрации, выданный и установленный в хранилище пользователей. - Право на локальный вход в систему. — Предоставить разрешение на шаблон сертификата агента регистрации (или на настраиваемый шаблон, если он используется). |
Создание шаблонов сертификатов для учетных записей службы MIM CM
Для трех учетных записей служб, используемых MIM CM, требуется сертификат, а мастеру настройки требуется указать имя шаблонов сертификатов, которые следует использовать для запроса сертификатов.
Учетные записи служб, требующие сертификатов:
MIMCMAgent: для этой учетной записи требуется сертификат пользователя
MIMCMEnrollAgent: для этой учетной записи требуется сертификат агента регистрации
MIMCMKRAgent: для этой учетной записи требуется сертификат агента восстановления ключей
В AD уже присутствуют шаблоны, но нам нужно создать собственные версии для работы с MIM CM. Так как нам нужно внести изменения из исходных шаблонов базовых показателей.
Все три из указанных выше учетных записей будут иметь повышенные права в вашей организации и должны тщательно обрабатываться.
Создание шаблона сертификата подписи MIM CM
Из средств администрирования откройте Центр сертификации.
В консоли Удостоверяющего центра, в дереве консоли разверните Contoso-CorpCA, а затем щелкните Шаблоны сертификатов.
Щелкните правой кнопкой мыши элемент Шаблоны сертификатови затем выберите Управление.
В консоли шаблонов сертификатов в области сведений выберите и щелкните правой кнопкой мыши на User, а затем нажмите Дублировать шаблон.
В диалоговом окне "Повторяющийся шаблон " выберите Windows Server 2003 Корпоративная и нажмите кнопку "ОК".
Примечание.
MIM CM не работает с сертификатами на основе шаблонов сертификатов версии 3. Необходимо создать шаблон сертификата Windows Server® 2003 Enterprise (версия 2). Дополнительные сведения см. в подробностях версии V3.
В диалоговом окне "Свойства нового шаблона" на вкладке "Общие" в поле отображаемого имени шаблона введите подпись MIM CM. Измените срок действия на 2 года, а затем снимите флажок "Опубликовать сертификат" в Active Directory .
На вкладке "Обработка запросов" установите флажок "Разрешить экспорт закрытого ключа" и перейдите на вкладку "Криптография".
В диалоговом окне выбора криптографии отключите расширенный поставщик шифрования Майкрософт версии 1.0, включите расширенный RSA и поставщик шифрования AES, а затем нажмите кнопку ОК.
На вкладке "Имя субъекта" снимите флажок "Включить имя электронной почты в имя субъекта" и флажок "Имя электронной почты".
На вкладке "Расширения" в списке расширений, включенных в этот список шаблонов, убедитесь, что выбраны политики приложений, а затем нажмите кнопку "Изменить".
В диалоговом окне "Изменение расширений политик приложений" выберите политики шифрования файловой системы и политики безопасной электронной почты. Нажмите кнопку Удалить, а затем нажмите кнопку ОК.
На вкладке "Безопасность" выполните следующие действия:
Удалите администратора.
Удаление администраторов домена.
Удаление пользователей домена.
Назначьте только разрешения на чтение и на запись для администраторов предприятия.
Добавьте MIMCMAgent.
Назначение разрешений на чтение и регистрацию для MIMCMAgent.
В диалоговом окне "Свойства нового шаблона" нажмите кнопку "ОК".
Оставьте консоль шаблонов сертификатов открытой.
Создание шаблона сертификата агента регистрации MIM CM
В консоли шаблонов сертификатов, в области сведений, выберите и щелкните правой кнопкой мыши Агент регистрации, а затем нажмите Дублировать шаблон.
В диалоговом окне "Повторяющийся шаблон " выберите Windows Server 2003 Корпоративная и нажмите кнопку "ОК".
В диалоговом окне "Свойства нового шаблона" на вкладке "Общие" в поле отображаемого имени шаблона введите агент регистрации MIM CM. Убедитесь, что срок действия составляет 2 года.
На вкладке "Обработка запросов" включите экспорт закрытого ключа, а затем щелкните CSPs или вкладку "Криптография".
В диалоговом окне выбора CSP отключите поставщика шифрования Microsoft Base Cryptographic Provider версии 1.0, отключите расширенного поставщика шифрования Microsoft версии 1.0, включите поставщика шифрования Microsoft Enhanced RSA и AES Cryptographic Provider, а затем нажмите кнопку ОК.
На вкладке "Безопасность" выполните следующие действия:
Удалите администратора.
Удаление администраторов домена.
Назначьте только разрешения на чтение и на запись для администраторов предприятия.
Добавьте MIMCMEnrollAgent.
Назначение разрешений на чтение и регистрацию для MIMCMEnrollAgent.
В диалоговом окне "Свойства нового шаблона" нажмите кнопку "ОК".
Оставьте консоль шаблонов сертификатов открытой.
Создание шаблона сертификата агента восстановления ключей CM MIM
В консоли "Шаблоны сертификатов" в области сведений выберите Агент восстановления ключей, кликните правой кнопкой мыши и нажмите Дублировать шаблон.
В диалоговом окне "Повторяющийся шаблон " выберите Windows Server 2003 Корпоративная и нажмите кнопку "ОК".
В диалоговом окне "Свойства нового шаблона" на вкладке "Общие" в поле отображаемого имени шаблона введите агент восстановления ключей MIM CM. Убедитесь, что срок действия составляет 2 года на вкладке "Криптография".
В диалоговом окне выбора поставщиков отключите расширенный поставщик криптографических услуг Microsoft версии 1.0, включите расширенный поставщик криптографических услуг Microsoft RSA и AES и нажмите ОК.
На вкладке Требования к выдаче убедитесь, что утверждение диспетчера сертификатовотключено.
На вкладке "Безопасность" выполните следующие действия:
Удалите администратора.
Удаление администраторов домена.
Назначьте только разрешения на чтение и на запись для администраторов предприятия.
Добавьте MIMCMKRAgent.
Назначение разрешений на чтение и регистрацию в KRAgent.
В диалоговом окне "Свойства нового шаблона" нажмите кнопку "ОК".
Закройте Консоль шаблонов сертификатов.
Публикация необходимых шаблонов сертификатов в центре сертификации
Восстановите консоль центра сертификации.
В консоли Удостоверяющего центра в дереве консоли щелкните правой кнопкой мыши Шаблоны сертификатов, наведите указатель на Новый, а затем щелкните Шаблон сертификата для выдачи.
В диалоговом окне "Включить шаблоны сертификатов" выберите агент регистрации MIM CM, агент восстановления ключей MIM и подпись MIM CM. Щелкните OK.
В дереве консоли щелкните "Шаблоны сертификатов".
Убедитесь, что три новых шаблона отображаются в области сведений, а затем закройте центр сертификации.
Закройте все открытые окна и выйдите из системы.
Конфигурация IIS
Чтобы разместить веб-сайт для CM, установите и настройте IIS.
Установка и настройка IIS
Войдите в CORLog как учетная запись MIMINSTALL
Внимание
Учетная запись установки MIM должна быть локальным администратором
Откройте PowerShell и выполните следующую команду.
Install-WindowsFeature –ConfigurationFilePath
Примечание.
Сайт с именем "Веб-сайт по умолчанию" устанавливается по умолчанию с IIS 7. Если этот сайт был переименован или удален сайт с именем веб-сайта по умолчанию должен быть доступен перед установкой MIM CM.
Настройка Kerberos
Учетная запись MIMCMWebAgent будет работать на портале MIM CM. В IIS по умолчанию используется проверка подлинности в режиме ядра. Вместо этого вы отключите аутентификацию Kerberos в режиме ядра и настроите SPNs в учетной записи MIMCMWebAgent. Для некоторых команд потребуется разрешение с повышенными привилегиями на сервере Active Directory и CORPCM.
#Kerberos settings
#SPN
SETSPN -S http/cm.contoso.com contoso\MIMCMWebAgent
#Delegation for certificate authority
Get-ADUser CONTOSO\MIMCMWebAgent | Set-ADObject -Add @{"msDS-AllowedToDelegateTo"="rpcss/CORPCA","rpcss/CORPCA.contoso.com"}
Обновление IIS на CORPCM
add-pssnapin WebAdministration
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name enabled -Value $true
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useKernelMode -Value $false
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useAppPoolCredentials -Value $true
Примечание.
Необходимо добавить запись DNS A для "cm.contoso.com" и указать IP-адрес CORPCM
Обязательное использование SSL на портале MIM CM
Настоятельно рекомендуется требовать SSL на портале MIM CM. Если вы этого не сделаете, мастер даже предупредит вас об этом.
Записаться на веб-сертификат для cm.contoso.com назначения на сайт по умолчанию
Откройте диспетчер IIS и перейдите к управлению сертификатами
В представлении компонентов дважды щелкните параметры SSL.
На странице параметров SSL выберите "Требовать SSL".
В области действий нажмите кнопку "Применить".
Конфигурация базы данных CORPSQL для MIM CM
Убедитесь, что вы подключены к серверу CORPSQL01.
Убедитесь, что вы вошли в систему как администратор базы данных SQL.
Выполните следующий скрипт T-SQL, чтобы разрешить учетной записи CONTOSO\MIMINSTALL создать базу данных при переходе на шаг конфигурации.
Примечание.
Нам нужно будет вернуться в SQL, когда мы будем готовы к выходу и модулю политики.
create login [CONTOSO\\MIMINSTALL] from windows; exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'dbcreator'; exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'securityadmin';
Развертывание управления сертификатами Microsoft Identity Manager 2016
Убедитесь, что вы подключены к серверу CORPCM и что учетная запись MIMINSTALL входит в группу локальных администраторов .
Убедитесь, что вы вошли в систему как Contoso\MIMINSTALL.
Смонтируйте ISO-образ Microsoft Identity Manager 2016 SP1 или более поздней версии.
Откройте каталог управления сертификатами\x64.
В окне x64 щелкните правой кнопкой мыши на Setup, затем выберите Запуск от имени администратора.
На странице мастера настройки управления сертификатами Microsoft Identity Manager нажмите кнопку "Далее".
На странице лицензионного соглашения с конечным пользователем ознакомьтесь с соглашением, установите флажок «Я принимаю условия лицензионного соглашения» , а затем нажмите кнопку «Далее».
На странице настройки убедитесь, что компоненты MIM CM Portal и службы обновления MIM CM установлены для установки, затем нажмите "Далее".
На странице "Виртуальная веб-папка" убедитесь, что имя виртуальной папки — CertificateManagement, а затем нажмите кнопку "Далее".
На странице "Установка управления сертификатами Microsoft Identity Manager" нажмите кнопку "Установить".
На странице Готово мастера настройки управления сертификатами Microsoft Identity Manager нажмите "Готово".
Мастер настройки управления сертификатами Microsoft Identity Manager 2016
Прежде чем войти в CORPCM, добавьте MIMINSTALL в группу администраторы домена, администраторы схемы и локальные администраторы мастера настройки. Это можно удалить позже после завершения настройки.
В меню "Пуск" выберите мастер конфигурации управления сертификатами. Запуск от имени администратора
На странице "Добро пожаловать в мастер настройки" нажмите кнопку "Далее".
На странице конфигурации ЦС убедитесь, что выбранный ЦС — это Contoso-CORPCA-CA, убедитесь, что выбранный сервер — это CORPCA.CONTOSO.COM, а затем нажмите кнопку Далее.
На странице "Настройка базы данных Microsoft® SQL Server" в поле "Имя SQL Server®" введите CORPSQL1, включите флажок "Использовать мои учетные данные для создания базы данных" и нажмите кнопку "Далее".
На странице "Параметры базы данных" примите имя базы данных по умолчанию FIMCertificateManagement, убедитесь, что выбрана встроенная проверка подлинности SQL, а затем нажмите кнопку "Далее".
На странице "Настройка Active Directory" примите имя по умолчанию, предоставленное для точки подключения службы, и нажмите кнопку "Далее".
На странице метода проверки подлинности подтвердите, что выбрана интегрированная проверка подлинности Windows, затем нажмите Далее.
На странице Агенты — FIM CM снимите флажок «Использовать параметры по умолчанию FIM CM», а затем нажмите «Пользовательские учетные записи».
В диалоговом окне "Агенты — FIM CM с несколькими вкладками" на каждой вкладке введите следующие сведения:
Имя пользователя: Update
Пароль: Pass@word1
Подтверждение пароля: Pass@word1
Использование существующего пользователя: включено
Примечание.
Мы создали эти учетные записи ранее. Убедитесь, что процедуры на шаге 8 повторяются для всех шести вкладок учетной записи агента.
После завершения всех сведений об учетной записи агента нажмите кнопку "ОК".
На странице "Агенты — MIM CM" нажмите кнопку "Далее".
На странице настройки сертификатов сервера включите следующие шаблоны сертификатов:
Шаблон сертификата, используемый для сертификата агента восстановления ключей: MIMCMKeyRecoveryAgent.
Шаблон сертификата, используемый для сертификата агента FIM CM: MIMCMSigning.
Шаблон сертификата, используемый для сертификата агента регистрации: FIMCMEnrollmentAgent.
На странице "Настройка сертификатов сервера" нажмите кнопку "Далее".
На странице "Настройка электронной почты" на странице "Печать документов" в поле "Указание имени SMTP-сервера" для уведомлений о регистрации электронной почты и нажмите кнопку "Далее".
На странице Готово к настройке щелкните Настроить.
В диалоговом окне "Мастер конфигурации— Microsoft Forefront Identity Manager 2010 R2" нажмите кнопку "ОК", чтобы подтвердить, что SSL не включен в виртуальном каталоге IIS.
Примечание.
Не нажимайте кнопку "Готово", пока не завершится выполнение мастера настройки. Ведение журнала для мастера можно найти здесь: %programfiles%\Microsoft Forefront Identity Management\2010\Certificate Management\config.log
Нажмите кнопку Готово.
Закройте все открытые окна.
Добавьте
https://cm.contoso.com/certificatemanagementв локальную зону интрасети в браузере.Посетите сайт на сервере CORPCM
https://cm.contoso.com/certificatemanagement
Проверьте службу изоляции ключей CNG
Из средств администрирования откройте службы.
В области сведений
дважды щелкните CNG Key Isolation .На вкладке "Общие" измените тип запуска на "Автоматически".
На вкладке "Общие " запустите службу, если она не находится в состоянии запуска.
На вкладке "Общие " нажмите кнопку "ОК".
Установка и настройка модулей ЦС:
На этом шаге мы установим и настроим модули ЦС FIM CM в центре сертификации.
Настройка FIM CM для проверки только разрешений пользователей для операций управления
В окне C:\Program Files\Microsoft Forefront Identity Manager\2010\Certificate Management\web сделайте копию web.config, назвав копию web.1.config.
В веб-окне щелкните правой кнопкой мыши web.config и нажмите кнопку "Открыть".
Примечание.
Файл web.config открывается в блокноте
Когда файл откроется, нажмите клавиши CTRL+F.
В диалоговом окне "Поиск и замена" в поле "Найти что" введите UseUser и нажмите кнопку "Найти далее" три раза.
Закройте диалоговое окно "Поиск и замена ".
Вы должны быть в строке <add key="Clm.RequestSecurity.Flags" value="UseUser,UseGroups" />. Измените строку для чтения <add key="Clm.RequestSecurity.Flags" value="UseUser" />.
Закройте файл, сохраняя все изменения.
Создание учетной записи для компьютера ЦС на сервере SQL Server <без скрипта>
Убедитесь, что вы подключены к серверу CORPSQL01 .
Убедитесь, что вы вошли в систему как DBA
В меню "Пуск" запустите SQL Server Management Studio.
В диалоговом окне "Подключение к серверу" в поле "Имя сервера" введите CORPSQL01 и нажмите кнопку "Подключить".
В дереве консоли разверните узел "Безопасность" и нажмите кнопку "Входы".
Щелкните правой кнопкой мыши элемент Имена входаи выберите Создать имя входа.
На странице "Общие" в поле имени входа введите contoso\CORPCA$. Выберите параметр Проверка подлинности Windows. База данных по умолчанию — FIMCertificateManagement.
В левой области выберите "Сопоставление пользователей". В правой области установите флажок в столбце "Карта " рядом с FIMCertificateManagement. В списке членства ролей базы данных для FIMCertificateManagement включите роль clmApp.
Щелкните OK.
Выйдите из программы Microsoft SQL Server Management Studio.
Установите модули FIM CM ЦС на сервере центра сертификации.
Убедитесь, что вы подключены к серверу CORPCA .
В окнах X64 щелкните правой кнопкой мыши Setup.exe и нажмите кнопку "Запуск от имени администратора".
На странице Добро пожаловать в мастер установки управления сертификатами Microsoft Identity Manager нажмите кнопку Далее.
На странице лицензионного соглашения конечного пользователя ознакомьтесь с соглашением. Установите флажок "Принять условия" в лицензионном соглашении и нажмите кнопку "Далее".
На странице "Настраиваемая настройка" выберите портал MIM CM, а затем нажмите кнопку "Эта функция не будет доступна".
На странице "Настраиваемая настройка" выберите службу обновления MIM CM, а затем нажмите кнопку "Эта функция" не будет доступна.
Примечание.
Это оставит файлы MIM CM CA в качестве единственной функции, включенной для установки.
На странице "Настраиваемая настройка" нажмите кнопку "Далее".
На странице "Установка управления сертификатами Microsoft Identity Manager" нажмите кнопку "Установить".
На странице «Завершено Мастером настройки управления сертификатами Microsoft Identity Manager» нажмите «Завершить».
Закройте все открытые окна.
Настройка модуля выхода MIM CM
Из средств администрирования откройте Центр сертификации.
В дереве консоли щелкните правой кнопкой мыши contoso-CORPCA-CA и выберите пункт "Свойства".
На вкладке модуль завершения выберите модуль завершения FIM CM и нажмите Свойства.
В поле «Указание строки подключения к базе данных CM» введите Connect Timeout=15; Сохранение сведений о безопасности=True; Встроенная безопасность=sspi; Initial Catalog=FIMCertificateManagement; Data Source=CORPSQL01. Оставьте флажок "Зашифровать строку подключения" и нажмите кнопку "ОК".
В диалоговом окне управления сертификатами Microsoft FIM нажмите кнопку "ОК".
В диалоговом окне свойств contoso-CORPCA-CA нажмите кнопку "ОК".
Щелкните правой кнопкой мыши contoso-CORPCA-CA, наведите указатель на все задачи и нажмите кнопку "Остановить службу". Дождитесь остановки служб сертификатов Active Directory.
Щелкните правой кнопкой мыши contoso-CORPCA-CA, наведите указатель на все задачи и нажмите кнопку "Пуск службы".
Сведите к минимуму консоль центра сертификации .
Откройте Просмотр событий из средств администрирования.
В дереве консоли разверните Журналы приложений и служб, а затем щелкните Управление сертификатами FIM.
В списке событий убедитесь, что последние события не включают события предупреждения или ошибки с момента последнего перезапуска служб сертификатов.
Примечание.
Последнее событие должно указать, что модуль выхода был загружен, используя настройки из:
SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ContosoRootCA\ExitModules\Clm.ExitСведите к минимуму Просмотр событий.
Скопируйте отпечаток сертификата MIMCMAgent в буфер обмена Windows®
Восстановите консоль центра сертификации.
В дереве консоли разверните contoso-CORPCA-CA и щелкните " Выданные сертификаты".
В области сведений дважды щелкните сертификат с CONTOSO\MIMCMAgent в столбце "Имя запрашивающего" и с FIM CM Signing в столбце "Шаблон сертификата".
На вкладке Сведения выделите поле Отпечаток .
Выберите отпечаток и нажмите клавиши CTRL+C.
Примечание.
Не включайте в список символов отпечатка ведущие пробелы.
В диалоговом окне "Сертификат" нажмите кнопку "ОК".
В меню "Пуск" в поле "Поиск программ и файлов" введите Блокнот и нажмите ENTER.
В Блокноте в меню "Изменить " нажмите кнопку "Вставить".
В меню "Изменить" нажмите кнопку "Заменить".
В поле "Найти что" введите пробел и нажмите кнопку "Заменить все".
Примечание.
При этом все пробелы между символами в отпечатке удаляются.
В диалоговом окне "Замена" нажмите кнопку "Отмена".
Выберите преобразованную строку отпечатка, а затем нажмите клавиши CTRL+C.
Закройте блокнот без сохранения изменений.
Настройка модуля политики CM FIM
Восстановите консоль центра сертификации.
Щелкните правой кнопкой мыши contoso-CORPCA-CA и выберите пункт "Свойства".
В диалоговом окне свойств contoso-CORPCA-CA на вкладке "Модуль политики" щелкните "Свойства".
На вкладке "Общие " убедитесь, что выбран параметр "Передача запросов, отличных от FIM CM", в модуль политики по умолчанию для обработки .
На вкладке "Сертификаты подписывания" нажмите кнопку "Добавить".
В диалоговом окне "Сертификат" щелкните правой кнопкой мыши в поле укажите хэш сертификата, закодированный в шестнадцатеричном формате, затем нажмите Вставить.
В диалоговом окне "Сертификат" нажмите кнопку "ОК".
Примечание.
Если кнопка "ОК" не включена, вы случайно включили скрытый символ в строку отпечатка при копировании отпечатка из сертификата clmAgent. В этом упражнении повторите все шаги, начиная с задачи 4. Скопируйте отпечаток сертификата MIMCMAgent в буфер обмена Windows.
В диалоговом окне "Свойства конфигурации" убедитесь, что отпечаток появится в списке допустимых сертификатов подписывания и нажмите кнопку "ОК".
В диалоговом окне управления сертификатами FIM нажмите кнопку "ОК".
В диалоговом окне свойств contoso-CORPCA-CA нажмите кнопку "ОК".
Щелкните правой кнопкой мыши contoso-CORPCA-CA, наведите указатель на все задачи и нажмите кнопку "Остановить службу".
Дождитесь остановки служб сертификатов Active Directory.
Щелкните правой кнопкой мыши contoso-CORPCA-CA, наведите указатель на все задачи и нажмите кнопку "Пуск службы".
Закройте консоль центра сертификации.
Закройте все открытые окна и выйдите из системы.
Последний шаг развертывания заключается в том, чтобы убедиться, что CONTOSO\MIMCM-Managers могут развертывать и создавать шаблоны и настраивать систему без необходимости быть администраторами схемы и домена. Следующий скрипт будет выполнять ACL разрешений для шаблонов сертификатов с помощью dsacls. Запустите учетную запись с полным разрешением на изменение разрешений на чтение и запись для каждого существующего шаблона сертификата в лесу.
Первые шаги. Настройка точки подключения службы и разрешения целевой группы и делегирование управления шаблонами профилей
Настройте разрешения для точки подключения сервисов (SCP).
Настройте делегированное управление шаблонами профилей.
Настройте разрешения для точки подключения сервисов (SCP). <нет скрипта>
Убедитесь, что вы подключены к виртуальному серверу CORPDC .
Вход в систему как contoso\corpadmin
Из Средств администрирования откройте Пользователи и компьютеры Active Directory.
В Пользователи и компьютеры Active Directory в меню "Вид" убедитесь, что включена функция "Дополнительные возможности".
В дереве консоли разверните Contoso.com | System | Microsoft | Certificate Lifecycle Manager, и щелкните CORPCM.
Щелкните правой кнопкой мыши CORPCM и выберите пункт "Свойства".
В диалоговом окне "Свойства CORPCM" на вкладке "Безопасность" добавьте следующие группы с соответствующими разрешениями:
Группа Разрешения Mimcm-Менеджеры Считать
FIM CM аудит
FIM CM агент регистрации
FIM CM запрос на регистрацию
FIM CM запрос на восстановление
FIM CM запрос на продление
FIM CM запрос на отзыв
FIM CM запрос на разблокировку смарт-картыmimcm-HelpDesk Чтение
агента регистрации FIM CM
отзыв запроса FIM CM
запрос на разблокировку смарт-карты FIM CMВ диалоговом окне "Свойства CORPDC" нажмите кнопку "ОК".
Оставьте Пользователи и компьютеры Active Directory открытыми.
Настройка разрешений для объектов-потомков пользователей
Убедитесь, что вы по-прежнему находитесь в консоли Пользователи и компьютеры Active Directory.
В дереве консоли щелкните правой кнопкой мыши Contoso.com и выберите пункт "Свойства".
На вкладке Безопасность нажмите кнопку Дополнительно.
В диалоговом окне "Дополнительные параметры безопасности" для Contoso нажмите кнопку "Добавить".
В диалоговом окне "Выбор пользователя, компьютера, учетной записи службы" или "Группа" в поле "Введите имя объекта", введите mimcm-Manager и нажмите кнопку "ОК".
В диалоговом окне "Запись разрешений для Contoso" в списке «Применить к» выберите объекты-потомки пользователей и поставьте флажок «Разрешить» для следующих разрешений:
Чтение всех свойств
Разрешения на чтение
Аудит FIM CM
Агент регистрации FIM CM
Регистрация запроса FIM CM
Восстановление запроса FIM CM
Запрос на продление FIM CM
Отзыв запроса FIM CM
Запрос на разблокировку смарт-карты в системе FIM CM
В диалоговом окне "Запись разрешений для Contoso" нажмите кнопку ОК.
В диалоговом окне "Дополнительные параметры безопасности" для Contoso нажмите кнопку "Добавить".
В диалоговом окне выбора пользователя, компьютера, учетной записи службы или группы в поле "Введите имя объекта", введите mimcm-HelpDesk и нажмите кнопку "ОК".
В диалоговом окне "Запись разрешений для Contoso" в списке "Применить к" выберите Объекты-потомки пользователя, а затем установите флажок "Разрешить" для следующих разрешений:
Чтение всех свойств
Разрешения на чтение
Агент регистрации FIM CM
Отзыв запроса FIM CM
Запрос на разблокировку смарт-карты в системе FIM CM
В диалоговом окне "Запись разрешений для Contoso" нажмите кнопку ОК.
В диалоговом окне "Дополнительные параметры безопасности" для Contoso нажмите кнопку "ОК".
В диалоговом окне "Свойства contoso.com" нажмите кнопку "ОК".
Оставьте Пользователи и компьютеры Active Directory открытыми.
Настройте разрешения на объекты-потомки пользовательских объектов <без скрипта>
Убедитесь, что вы по-прежнему находитесь в консоли Пользователи и компьютеры Active Directory.
В дереве консоли щелкните правой кнопкой мыши Contoso.com и выберите пункт "Свойства".
На вкладке Безопасность нажмите кнопку Дополнительно.
В диалоговом окне "Дополнительные параметры безопасности" для Contoso нажмите кнопку "Добавить".
В диалоговом окне "Выбор пользователя, компьютера, учетной записи службы" или "Группа" в поле "Введите имя объекта", введите mimcm-Manager и нажмите кнопку "ОК".
В диалоговом окне "Запись разрешений для CONTOSO", в списке 'Применить к', выберите объекты 'Потомки пользователя', а затем установите флажок 'Разрешить' для следующих разрешений:
Чтение всех свойств
Разрешения на чтение
Аудит FIM CM
Агент регистрации FIM CM
Запрос на регистрацию FIM CM
Запрос на восстановление FIM CM
Запрос на продление FIM CM
Отзыв запроса FIM CM
Запрос на разблокировку смарт-карты в системе FIM CM
В диалоговом окне "Запись разрешений для CONTOSO" нажмите кнопку OK.
В диалоговом окне "Дополнительные параметры безопасности" для CONTOSO нажмите кнопку "Добавить".
В диалоговом окне выбора пользователя, компьютера, учетной записи службы или группы в поле "Введите имя объекта", введите mimcm-HelpDesk и нажмите кнопку "ОК".
В диалоговом окне "Запись разрешений для CONTOSO", в списке "Применить к" выберите объекты потомков пользователей, а затем установите флажок для "Разрешить" для следующих разрешений:
Чтение всех свойств
Разрешения на чтение
Агент регистрации FIM CM
Отзыв запроса FIM CM
Запрос на разблокировку смарт-карты в системе FIM CM
В диалоговом окне "Запись разрешений для contoso" нажмите кнопку "ОК".
В диалоговом окне "Дополнительные параметры безопасности" для Contoso нажмите кнопку "ОК".
В диалоговом окне "Свойства contoso.com" нажмите кнопку "ОК".
Оставьте Пользователи и компьютеры Active Directory открытыми.
Второй шаг: Делегирование прав управления шаблонами сертификатов< скрипт>
Делегирование разрешений для контейнера шаблонов сертификатов.
Делегирование разрешений для контейнера OID.
Делегирование разрешений на существующие шаблоны сертификатов.
Определите разрешения для контейнера шаблонов сертификатов:
Восстановите консоль сайтов и служб Active Directory.
В дереве консоли разверните Службы, разверните Службы открытых ключей и щелкните Шаблоны сертификатов.
В дереве консоли щелкните правой кнопкой мыши шаблоны сертификатов и выберите пункт "Делегировать элемент управления".
В мастере делегирования элементов управления нажмите кнопку "Далее".
На странице "Пользователи или группы" нажмите кнопку "Добавить".
В диалоговом окне выбора пользователей, компьютеров или групп введите имена объектов, чтобы выбрать поле, введите mimcm-Manager и нажмите кнопку "ОК".
На странице "Пользователи или группы" нажмите кнопку "Далее".
На странице "Задачи для делегирования" нажмите кнопку "Создать настраиваемую задачу" для делегирования и нажмите кнопку "Далее".
На странице "Тип объекта Active Directory" убедитесь, что эта папка, существующие объекты в этой папке и создание новых объектов в этой папке выбраны, а затем нажмите кнопку "Далее".
На странице "Разрешения" в списке разрешений установите флажок "Полный контроль" и нажмите кнопку "Далее".
На странице "Завершение делегирования элемента управления" нажмите кнопку "Готово".
Определите разрешения для контейнера OID:
В дереве консоли щелкните правой кнопкой мыши OID и выберите пункт "Свойства".
В диалоговом окне "Свойства OID" на вкладке "Безопасность" нажмите кнопку "Дополнительно".
В диалоговом окне "Дополнительные параметры безопасности" для OID нажмите кнопку "Добавить".
В диалоговом окне "Выбор пользователя, компьютера, учетной записи службы" или "Группа" в поле "Введите имя объекта", введите mimcm-Manager и нажмите кнопку "ОК".
В диалоговом окне "Разрешения для OID" убедитесь, что разрешения применяются к этому объекту и всем объектам-потомкам, нажмите кнопку "Полный контроль" и нажмите кнопку "ОК".
В диалоговом окне "Дополнительные параметры безопасности" для OID нажмите кнопку "ОК".
В диалоговом окне "Свойства OID" нажмите кнопку "ОК".
Закройте сайты и службы Active Directory.
Скрипты: разрешения на OID, контейнер шаблонов профилей и шаблонов сертификатов
import-module activedirectory
$adace = @{
"OID" = "AD:\\CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"CT" = "AD:\\CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"PT" = "AD:\\CN=Profile Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com"
}
$adace.GetEnumerator() | **Foreach-Object** {
$acl = **Get-Acl** *-Path* $_.Value
$sid=(**Get-ADGroup** "MIMCM-Managers").SID
$p = **New-Object** System.Security.Principal.SecurityIdentifier($sid)
##https://msdn.microsoft.com/library/system.directoryservices.activedirectorysecurityinheritance(v=vs.110).aspx
$ace = **New-Object** System.DirectoryServices.ActiveDirectoryAccessRule
($p,[System.DirectoryServices.ActiveDirectoryRights]"GenericAll",[System.Security.AccessControl.AccessControlType]::Allow,
[DirectoryServices.ActiveDirectorySecurityInheritance]::All)
$acl.AddAccessRule($ace)
**Set-Acl** *-Path* $_.Value *-AclObject* $acl
}
Скрипты: делегирование разрешений на существующие шаблоны сертификатов.
dsacls "CN=Administrator,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CAExchange,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CEPEncryption,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=ClientAuth,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CodeSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CrossCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CTLSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=DirectoryEmailReplication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=DomainController,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=DomainControllerAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=EFS,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=EFSRecovery,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=EnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=EnrollmentAgentOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=ExchangeUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=ExchangeUserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=FIMCMSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=FIMCMEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=FIMCMKeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=IPSecIntermediateOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=IPSecIntermediateOnline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=KerberosAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=KeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=Machine,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=MachineEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=OCSPResponseSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=OfflineRouter,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=RASAndIASServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=SmartCardLogon,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=SmartCardUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=SubCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=User,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=UserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=WebServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=Workstation,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO