注意
執行此程式之前,您必須在執行 AD CS 的 CA 上使用憑證範本 Microsoft Management Console 嵌入式管理單元來設定伺服器憑證範本。 若要完成這個程序,至少需要 Enterprise Admins 群組和根網域的 Domain Admins 群組的成員資格。
設定伺服器憑證自動註冊
在安裝 AD DS 的電腦上,開啟 Windows PowerShell®,輸入 mmc,然後按 ENTER。 此時會開啟 Microsoft Management Console。
在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。 此時會開啟 [新增或移除嵌入式管理單元] 對話方塊。
在 [可用的嵌入式管理單元] 中,向下捲動至,然後按兩下 [群組原則管理編輯器]。 [選取群組原則物件] 對話方塊隨即開啟。
重要
請確定您選取 [群組原則管理編輯器],而不是 [群組原則管理]。 如果您選取 [群組原則管理],使用這些指示的設定將會失敗,且伺服器憑證將不會自動註冊至您的 NPS。
在 [群組原則物件] 中,按一下 [瀏覽]。 [瀏覽群組原則物件] 對話方塊隨即開啟。
在 [網域]、[OU] 和 [連結的群組原則物件] 中, 按一下 [預設網域原則],然後按一下 [確定]。
按一下 [完成] ,然後按一下 [確定] 。
按兩下 [預設網域原則]。 在主控台中,展開下列路徑:[電腦設定]、[原則]、[Windows 設定]、 [安全性設定] 和 [公開金鑰原則]。
按一下 [公開金鑰原則]。 在詳細資料窗格中,按兩下 [憑證服務用戶端 - 自動註冊]。 此時會開啟 [屬性] 對話方塊。 設定下列專案,然後按一下 [確定]:
- 在 [設定模型] 中,選取 [啟用] 。
- 選取 [更新過期的憑證,更新擱置中的憑證並移除撤銷的憑證] 核取方塊。
- 選取 [更新使用憑證範本的憑證] 核取方塊。
按一下 [確定]。
設定使用者憑證自動註冊
在安裝 AD DS 的電腦上,開啟 Windows PowerShell®,輸入 mmc,然後按 ENTER。 此時會開啟 Microsoft Management Console。
在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。 此時會開啟 [新增或移除嵌入式管理單元] 對話方塊。
在 [可用的嵌入式管理單元] 中,向下捲動至,然後按兩下 [群組原則管理編輯器]。 [選取群組原則物件] 對話方塊隨即開啟。
重要
請確定您選取 [群組原則管理編輯器],而不是 [群組原則管理]。 如果您選取 [群組原則管理],使用這些指示的設定將會失敗,且伺服器憑證將不會自動註冊至您的 NPS。
在 [群組原則物件] 中,按一下 [瀏覽]。 [瀏覽群組原則物件] 對話方塊隨即開啟。
在 [網域]、[OU] 和 [連結的群組原則物件] 中, 按一下 [預設網域原則],然後按一下 [確定]。
按一下 [完成] ,然後按一下 [確定] 。
按兩下 [預設網域原則]。 在主控台中,展開下列路徑:使用者設定、原則、Windows 設定、安全性設定。
按一下 [公開金鑰原則]。 在詳細資料窗格中,按兩下 [憑證服務用戶端 - 自動註冊]。 此時會開啟 [屬性] 對話方塊。 設定下列專案,然後按一下 [確定]:
- 在 [設定模型] 中,選取 [啟用] 。
- 選取 [更新過期的憑證,更新擱置中的憑證並移除撤銷的憑證] 核取方塊。
- 選取 [更新使用憑證範本的憑證] 核取方塊。
按一下 [確定]。