> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/nl/verhard-uw-omgeving/implement-certificates/deploying-user-certificates-within-the-active-directory.md).

# Gebruikerscertificaten uitrollen binnen Active Directory

### Installeren van de AD Certificate Services-rol

Installeer de **"Active Directory Certificate Services"** rol op een van uw servers. Het is belangrijk op te merken dat een server waarop deze rol wordt gehost als zeer gevoelig moet worden beschouwd en een beveiligings- en bewakingsniveau moet hebben dat vergelijkbaar is met dat van een domeincontroller.

![](/files/9a8e5cef0b07db154a9fe2c6158b69d7260f2ba3)

Volg de configuratie-instructies van de certificeringsautoriteit volgens de behoeften van uw bedrijf.

![](/files/e2ddfd547d821de1c9e037f494c252bf6beab958)

![](/files/c700ada75d53bb3a504a86e44df46adde74144a6)

![](/files/d499f8ea451aa1de8320e8b7db6d0ee20d81c9c0)

### Een nieuw certificaatsjabloon maken

Open Certificate Manager (certsrv) en de **"Certificaatsjablonen"** map.

![](/files/daa493e5f0d754dc86b3fe7e7b62f96b9d8c1743)

Klik met de rechtermuisknop op de **"Certificaatsjablonen"** map en selecteer **"Beheren"**&#x65;n klik vervolgens met de rechtermuisknop op **"Gebruiker"** en selecteer ten slotte **"Sjabloon dupliceren"**.

![](/files/2793845fdf415e4c167d614e95ddc971c4ed6bc7)

Hernoem het zojuist gemaakte sjabloon naar **"Gebruiker v2"**.

![](/files/1f120495adad2767edfa938b3529aa508382b841)

In het **"Beveiliging"** tabblad, schakel de machtigingen in **"Lezen"**, **"Aanmelden"**&#x65;n **"Automatisch aanmelden"** voor domeingebruikers.

![](/files/5edab4932d635298514c7ed8dabc3d39b3faa115)

Indien nodig kan het toepassingsbeleid van dit nieuwe sjabloon worden gewijzigd. In de meeste gevallen worden deze certificaten gebruikt voor gebruikersverificatie, dus controleer of het toepassingsbeleid het volgende bevat **"Clientverificatie"**. U kunt desgewenst andere toepassingsbeleidsregels verwijderen.

![](/files/7cbba043d1e7099f6da3221e2ce915f3cea29e10)

In het **"Aanvraagverwerking"** tabblad, vink de optie uit **"Toestaan dat de privésleutel wordt geëxporteerd"**.

![](/files/0c4c33a4a4313c964d1d36eaa27b13675e7be315)

Bevestig de creatie van dit nieuwe sjabloon.

Keer terug naar het venster Certificeringsautoriteit (certsrv), klik met de rechtermuisknop op **"Certificaatsjablonen"**&#x65;n selecteer vervolgens **"Nieuw"**&#x65;n ten slotte **"Certificaatsjabloon om uit te geven"**.

![](/files/6a9c0aac98d1e7f0f50227e40eb782a4588450a5)

Selecteer het zojuist gemaakte sjabloon en klik op **OK**.

Het nieuwe sjabloon zou nu in het huidige venster moeten verschijnen.

![](/files/e7e2710538267f0364c8107d3f303f23654bad09)

### Automatische aanmelding inschakelen voor domeingebruikers

Meld u aan op een domeincontroller en open de **Groepsbeleidsbeheer** tool. Vouw het domein uit waarvoor u automatische aanmelding wilt inschakelen en open vervolgens de **"Groepsbeleidsobjecten"** map. Klik met de rechtermuisknop op **"Standaarddomeinbeleid"** en klik op **"Bewerken"**.

![](/files/721888ef21538701606c3a9d74a0431371d280dd)

Ga naar:\
\&#xNAN;**"Gebruikersconfiguratie" → "Beleid" → "Windows-instellingen" → "Beveiligingsinstellingen" → "Beleid voor openbare sleutels"**&#x65;n klik vervolgens op **"Client van certificaatservices – Automatische aanmelding"**.

![](/files/8fefe56d9749254c7157824e3eb70f59a63d22bd)

Selecteer **"Ingeschakeld"** voor de **"Configuratiemodel"** optie en vink de eerste twee vakjes aan:

* **"Verlopen certificaten vernieuwen \[...]"**
* **"Certificaten bijwerken \[...]"**

![](/files/effd27d3690da495531231fdd4b5009553dd4c9b)

Klik vervolgens op **OK**.

Klik gewoon op **OK** opnieuw en sluit de GPO.

Typ vanuit een sessie van een domeingebruiker **"gpupdate /force"** en wacht tot de GPO is toegepast. Er zou dan een certificaat in uw certificaatarchief moeten verschijnen. Zo niet, gebruik dan het commando **"gpresult /r"** om te controleren of de GPO correct is toegepast.

In de onderstaande afbeelding is het certificaat van de gebruiker **"Administrator"** zichtbaar.

![](/files/41e9ce6bf21a05b83417dec2dece9d414fe5c992)


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/nl/verhard-uw-omgeving/implement-certificates/deploying-user-certificates-within-the-active-directory.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
