Bereitstellung von Benutzerzertifikaten in Active Directory
Installation der Rolle Active Directory-Zertifikatdienste
Installieren Sie die "Active Directory-Zertifikatdienste" Rolle auf einem Ihrer Server. Es ist wichtig zu beachten, dass ein Server, der diese Rolle hostet, als hochsensibel betrachtet werden sollte und ein Schutzniveau sowie eine Überwachung ähnlich dem eines Domänencontrollers haben muss.
Folgen Sie den Anweisungen zur Konfiguration der Zertifizierungsstelle entsprechend den Anforderungen Ihres Unternehmens.
Erstellen einer neuen Zertifikatvorlage
Öffnen Sie den Zertifikat-Manager (certsrv) und den "Zertifikatvorlagen" Ordner.
Klicken Sie mit der rechten Maustaste auf den "Zertifikatvorlagen" Ordner, wählen Sie "Verwalten", klicken Sie dann mit der rechten Maustaste auf "Benutzer" und wählen Sie schließlich "Vorlage duplizieren".
Benennen Sie die neu erstellte Vorlage um in "Benutzer v2".
Im "Sicherheit" Register, aktivieren Sie die Berechtigungen "Lesen", "Anmelden", und "Automatische Registrierung" für Domänenbenutzer.
Falls erforderlich, kann die Anwendungsrichtlinie dieser neuen Vorlage geändert werden. In den meisten Fällen werden diese Zertifikate für die Benutzeranmeldung verwendet, prüfen Sie daher, dass die Anwendungsrichtlinie "Clientauthentifizierung"enthält. Sie können andere Anwendungsrichtlinien bei Bedarf entfernen.
Im "Anforderungsbehandlung" Registerkarte, deaktivieren Sie die Option "Privaten Schlüssel exportieren zulassen".
Bestätigen Sie die Erstellung dieser neuen Vorlage.
Wechseln Sie zurück zum Fenster der Zertifizierungsstelle (certsrv), klicken Sie mit der rechten Maustaste auf "Zertifikatvorlagen", und wählen Sie dann "Neu", und schließlich "Zu vergebende Zertifikatvorlage".
Wählen Sie die neu erstellte Vorlage aus und klicken Sie auf OK.
Die neue Vorlage sollte nun im aktuellen Fenster angezeigt werden.
Aktivieren der automatischen Registrierung für Domänenbenutzer
Melden Sie sich an einem Domänencontroller an und öffnen Sie das Tool zur Gruppenrichtlinienverwaltung . Erweitern Sie die Domäne, für die Sie die automatische Registrierung aktivieren möchten, und öffnen Sie dann den "Gruppenrichtlinienobjekte" Ordner. Klicken Sie mit der rechten Maustaste auf "Standarddomänenrichtlinie" und klicken Sie auf "Bearbeiten".
Gehen Sie zu: "Benutzerkonfiguration" → "Richtlinien" → "Windows-Einstellungen" → "Sicherheitseinstellungen" → "Zertifikatdienstrichtlinien", und klicken Sie dann auf "Zertifikatdienste-Client – Automatische Registrierung".
Wählen Sie "Aktiviert" für die "Konfigurationsmodell" Option und aktivieren Sie die ersten beiden Kontrollkästchen:
"Abgelaufene Zertifikate erneuern [...]"
"Zertifikate aktualisieren [...]"
Klicken Sie dann auf OK.
Klicken Sie einfach erneut auf OK und schließen Sie das GPO.
Öffnen Sie in einer Sitzung eines Domänenbenutzers die Eingabeaufforderung und geben Sie ein "gpupdate /force" und warten Sie, bis die GPO angewendet wurde. Ein Zertifikat sollte dann in Ihrem Zertifikatspeicher erscheinen. Falls nicht, verwenden Sie den Befehl "gpresult /r" um sicherzustellen, dass die GPO korrekt angewendet wurde.
Im Bild unten ist das Zertifikat des Benutzers "Administrator" sichtbar.
Zuletzt aktualisiert
War das hilfreich?