Planera för certifikatmallsbehörigheter för certifikatprofiler i Configuration Manager
Gäller för: Configuration Manager (aktuell gren)
Viktigt
Från och med version 2203 stöds inte längre den här åtkomstfunktionen för företagsresurser. Mer information finns i Vanliga frågor och svar om utfasning av resursåtkomst.
Följande information kan hjälpa dig att planera för hur du konfigurerar behörigheter för de certifikatmallar som Configuration Manager använder när du distribuerar certifikatprofiler.
Standardsäkerhetsbehörigheter och överväganden
Standardsäkerhetsbehörigheterna som krävs för de certifikatmallar som Configuration Manager använder för att begära certifikat för användare och enheter är följande:
Läsa och registrera för det konto som programpoolen för registreringstjänsten för nätverksenheter använder
Läs för det konto som kör Configuration Manager-konsolen
Mer information om dessa säkerhetsbehörigheter finns i Konfigurera certifikatinfrastruktur.
När du använder den här standardkonfigurationen kan användare och enheter inte begära certifikat direkt från certifikatmallarna och alla begäranden måste initieras av registreringstjänsten för nätverksenheter. Detta är en viktig begränsning eftersom dessa certifikatmallar måste konfigureras med Leverans i begäran för certifikatmottagaren, vilket innebär att det finns en risk för personifiering om en obehörig användare eller en komprometterad enhet begär ett certifikat. I standardkonfigurationen måste registreringstjänsten för nätverksenheter initiera en sådan begäran. Den här risken för personifiering kvarstår dock om tjänsten som kör registreringstjänsten för nätverksenheter komprometteras. För att undvika den här risken följer du alla rekommenderade säkerhetsmetoder för registreringstjänsten för nätverksenheter och den dator som kör den här rolltjänsten.
Om standardsäkerhetsbehörigheterna inte uppfyller dina affärskrav har du ett annat alternativ för att konfigurera säkerhetsbehörigheterna för certifikatmallarna: Du kan lägga till läs- och registreringsbehörigheter för användare och datorer.
Lägga till läs- och registreringsbehörigheter för användare och datorer
Det kan vara lämpligt att lägga till läs- och registreringsbehörigheter för användare och datorer om ett separat team hanterar ditt certifikatutfärdarinfrastrukturteam och det separata teamet vill att Configuration Manager kontrollerar att användarna har ett giltigt Active Directory Domain Services konto innan de skickar en certifikatprofil för att begära en användare Certifikat. För den här konfigurationen måste du ange en eller flera säkerhetsgrupper som innehåller användarna och sedan bevilja dessa grupper läs- och registreringsbehörigheter för certifikatmallarna. I det här scenariot hanterar CA-administratören säkerhetskontrollen.
Du kan på samma sätt ange en eller flera säkerhetsgrupper som innehåller datorkonton och bevilja dessa grupper läs- och registreringsbehörigheter för certifikatmallarna. Om du distribuerar en datorcertifikatprofil till en dator som är domänmedlem måste datorns datorkonto beviljas läs- och registreringsbehörigheter. Dessa behörigheter krävs inte om datorn inte är en domänmedlem. Om det till exempel är en arbetsgruppsdator eller en personlig mobil enhet.
Även om den här konfigurationen använder en annan säkerhetskontroll rekommenderar vi den inte som bästa praxis. Anledningen är att de angivna användarna eller ägarna av enheterna kan begära certifikat oberoende av Configuration Manager och ange värden för certifikatmottagaren som kan användas för att personifiera en annan användare eller enhet.
Om du dessutom anger konton som inte kan autentiseras när certifikatbegäran inträffar misslyckas certifikatbegäran som standard. Certifikatbegäran misslyckas till exempel om servern som kör registreringstjänsten för nätverksenheter finns i en Active Directory-skog som inte är betrodd av skogen som innehåller platssystemservern för certifikatregistreringsplatsen. Du kan konfigurera certifikatregistreringsplatsen så att den fortsätter om ett konto inte kan autentiseras eftersom det inte finns något svar från en domänkontrollant. Detta är dock inte en metod för säkerhet.
Om certifikatregistreringsplatsen har konfigurerats för att söka efter kontobehörigheter och en domänkontrollant är tillgänglig och avvisar autentiseringsbegäran (till exempel om kontot är utelåst eller har tagits bort) misslyckas begäran om certifikatregistrering.
Så här söker du efter läs- och registreringsbehörigheter för användare och domänmedlemsdatorer
På platssystemservern som är värd för certifikatregistreringsplatsen skapar du följande DWORD-registernyckel för att ha värdet 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
Om ett konto inte kan autentiseras eftersom det inte finns något svar från en domänkontrollant och du vill kringgå behörighetskontrollen:
- På platssystemservern som är värd för certifikatregistreringsplatsen skapar du följande DWORD-registernyckel för att ha värdet 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
På den utfärdande certifikatutfärdaren går du till fliken Säkerhet i egenskaperna för certifikatmallen och lägger till en eller flera säkerhetsgrupper för att bevilja användar- eller enhetskonton läs- och registreringsbehörigheter.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för