Udostępnij za pośrednictwem


Planowanie uprawnień szablonu certyfikatu dla profilów certyfikatów w Configuration Manager

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Ważna

Począwszy od wersji 2203, ta funkcja dostępu do zasobów firmy nie jest już obsługiwana. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące wycofywania dostępu do zasobów.

Poniższe informacje mogą pomóc w zaplanowaniu sposobu konfigurowania uprawnień dla szablonów certyfikatów, które Configuration Manager używane podczas wdrażania profilów certyfikatów.

Domyślne uprawnienia zabezpieczeń i zagadnienia

Domyślne uprawnienia zabezpieczeń wymagane dla szablonów certyfikatów, które Configuration Manager będą używane do żądania certyfikatów dla użytkowników i urządzeń, są następujące:

  • Odczyt i rejestracja dla konta używanego przez pulę aplikacji usługi rejestracji urządzeń sieciowych

  • Odczyt dla konta z uruchomioną konsolą Configuration Manager

    Aby uzyskać więcej informacji na temat tych uprawnień zabezpieczeń, zobacz Konfigurowanie infrastruktury certyfikatów.

    W przypadku korzystania z tej domyślnej konfiguracji użytkownicy i urządzenia nie mogą bezpośrednio żądać certyfikatów z szablonów certyfikatów, a wszystkie żądania muszą być inicjowane przez usługę rejestracji urządzeń sieciowych. Jest to ważne ograniczenie, ponieważ te szablony certyfikatów muszą być skonfigurowane przy użyciu opcji Podaj w żądaniu podmiotu certyfikatu, co oznacza, że istnieje ryzyko personifikacji, jeśli nieautoryzowany użytkownik lub naruszone urządzenie zażąda certyfikatu. W konfiguracji domyślnej usługa rejestracji urządzeń sieciowych musi zainicjować takie żądanie. Jednak to ryzyko personifikacji pozostaje, jeśli usługa z uruchomioną usługą rejestracji urządzeń sieciowych zostanie naruszona. Aby uniknąć tego ryzyka, postępuj zgodnie ze wszystkimi najlepszymi rozwiązaniami dotyczącymi zabezpieczeń dla usługi rejestracji urządzeń sieciowych i komputera z uruchomioną tą usługą roli.

    Jeśli domyślne uprawnienia zabezpieczeń nie spełniają wymagań biznesowych, masz inną opcję konfigurowania uprawnień zabezpieczeń w szablonach certyfikatów: możesz dodać uprawnienia odczytu i rejestracji dla użytkowników i komputerów.

Dodawanie uprawnień do odczytu i rejestrowania dla użytkowników i komputerów

Dodanie uprawnień do odczytu i rejestrowania dla użytkowników i komputerów może być odpowiednie, jeśli oddzielny zespół zarządza zespołem infrastruktury urzędu certyfikacji (CA), a ten oddzielny zespół chce, aby Configuration Manager zweryfikować, czy użytkownicy mają prawidłowe konto Active Directory Domain Services przed wysłaniem im profilu certyfikatu w celu zażądania użytkownika Certyfikat. W przypadku tej konfiguracji należy określić co najmniej jedną grupę zabezpieczeń zawierającą użytkowników, a następnie przyznać tym grupom uprawnienia odczytu i rejestracji w szablonach certyfikatów. W tym scenariuszu administrator urzędu certyfikacji zarządza kontrolą zabezpieczeń.

W podobny sposób można określić co najmniej jedną grupę zabezpieczeń zawierającą konta komputerów i przyznać tym grupom uprawnienia odczytu i rejestracji w szablonach certyfikatów. W przypadku wdrożenia profilu certyfikatu komputera na komputerze, który jest członkiem domeny, konto komputera tego komputera musi mieć przyznane uprawnienia odczytu i rejestracji. Te uprawnienia nie są wymagane, jeśli komputer nie jest członkiem domeny. Jeśli na przykład jest to komputer grupy roboczej lub osobiste urządzenie przenośne.

Mimo że ta konfiguracja używa innej kontroli zabezpieczeń, nie zalecamy jej jako najlepszego rozwiązania. Przyczyną jest to, że określoni użytkownicy lub właściciele urządzeń mogą żądać certyfikatów niezależnie od Configuration Manager i podawać wartości dla podmiotu certyfikatu, które mogą służyć do personifikacji innego użytkownika lub urządzenia.

Ponadto jeśli określisz konta, których nie można uwierzytelnić w momencie wystąpienia żądania certyfikatu, żądanie certyfikatu domyślnie zakończy się niepowodzeniem. Na przykład żądanie certyfikatu zakończy się niepowodzeniem, jeśli serwer z uruchomioną usługą rejestracji urządzeń sieciowych znajduje się w lesie usługi Active Directory niezaufanym przez las zawierający serwer systemu lokacji punktu rejestracji certyfikatu. Punkt rejestracji certyfikatu można skonfigurować tak, aby był kontynuowany, jeśli nie można uwierzytelnić konta, ponieważ nie ma odpowiedzi z kontrolera domeny. Nie jest to jednak najlepsze rozwiązanie w zakresie zabezpieczeń.

Jeśli punkt rejestracji certyfikatu jest skonfigurowany do sprawdzania uprawnień konta, a kontroler domeny jest dostępny i odrzuca żądanie uwierzytelniania (na przykład konto zostało zablokowane lub zostało usunięte), żądanie rejestracji certyfikatu zakończy się niepowodzeniem.

Aby sprawdzić uprawnienia do odczytu i rejestrowania dla użytkowników i komputerów będących członkami domeny

  1. Na serwerze systemu lokacji hostującym punkt rejestracji certyfikatu utwórz następujący klucz rejestru DWORD, aby mieć wartość 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Jeśli nie można uwierzytelnić konta, ponieważ nie ma odpowiedzi z kontrolera domeny i chcesz pominąć sprawdzanie uprawnień:

    • Na serwerze systemu lokacji hostującym punkt rejestracji certyfikatu utwórz następujący klucz rejestru DWORD o wartości 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
  3. Na wystawiającym urząd certyfikacji na karcie Zabezpieczenia we właściwościach szablonu certyfikatu dodaj co najmniej jedną grupę zabezpieczeń, aby udzielić kont użytkowników lub urządzeń uprawnień odczytu i rejestracji.