规划Configuration Manager中证书配置文件的证书模板权限
适用于: Configuration Manager(current branch)
重要
从版本 2203 开始,不再支持此公司资源访问功能。 有关详细信息,请参阅 有关弃用资源访问的常见问题。
以下信息可帮助你规划如何为部署证书配置文件时Configuration Manager使用的证书模板配置权限。
默认安全权限和注意事项
Configuration Manager用于为用户和设备请求证书的证书模板所需的默认安全权限如下所示:
读取和注册网络设备注册服务应用程序池使用的帐户
读取运行 Configuration Manager 控制台的帐户
有关这些安全权限的详细信息,请参阅 配置证书基础结构。
使用此默认配置时,用户和设备无法直接从证书模板请求证书,并且所有请求都必须由网络设备注册服务发起。 这是一个重要的限制,因为这些证书模板必须在请求中为证书使用者配置 “提供 ”,这意味着,如果恶意用户或遭到入侵的设备请求证书,则存在模拟的风险。 在默认配置中,网络设备注册服务必须启动此类请求。 但是,如果运行网络设备注册服务的服务遭到入侵,这种模拟风险仍然存在。 若要帮助避免此风险,请遵循网络设备注册服务和运行此角色服务的计算机的所有安全最佳做法。
如果默认安全权限不满足业务要求,则可以使用另一个选项来配置证书模板的安全权限:可以为用户和计算机添加“读取”和“注册”权限。
为用户和计算机添加读取和注册权限
如果单独的团队管理证书颁发机构 (CA) 基础结构团队,并且单独的团队希望Configuration Manager在向用户发送证书配置文件以请求用户证书之前验证用户是否具有有效的Active Directory 域服务帐户,则为用户和计算机添加读取和注册权限可能适用。 对于此配置,必须指定包含用户的一个或多个安全组,然后授予这些组对证书模板的“读取”和“注册”权限。 在此方案中,CA 管理员管理安全控制。
同样,可以指定包含计算机帐户的一个或多个安全组,并授予这些组对证书模板的“读取”和“注册”权限。 如果将计算机证书配置文件部署到属于域成员的计算机,则必须向该计算机的计算机帐户授予“读取”和“注册”权限。 如果计算机不是域成员,则不需要这些权限。 例如,如果是工作组计算机或个人移动设备。
尽管此配置使用其他安全控制,但我们不建议将其作为最佳做法。 原因是,设备的指定用户或所有者可能会独立于Configuration Manager请求证书,并为证书使用者提供可用于模拟其他用户或设备的值。
此外,如果指定在证书请求发生时无法进行身份验证的帐户,则默认情况下,证书请求将失败。 例如,如果运行网络设备注册服务的服务器位于包含证书注册点站点系统服务器的林不受信任的 Active Directory 林中,则证书请求将失败。 如果由于域控制器没有响应而无法对帐户进行身份验证,则可以将证书注册点配置为继续。 但是,这不是安全最佳做法。
如果证书注册点配置为检查帐户权限,并且域控制器可用并拒绝身份验证请求 (例如帐户被锁定或删除) ,则证书注册请求将失败。
为用户和域成员计算机检查读取和注册权限
在托管证书注册点的站点系统服务器上,创建以下 DWORD 注册表项,使其值为 0:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
如果由于没有来自域控制器的响应而无法对帐户进行身份验证,并且你想要绕过权限检查:
- 在托管证书注册点的站点系统服务器上,创建以下 DWORD 注册表项,使其值为 1:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
在颁发 CA 的证书模板属性中的“ 安全性 ”选项卡上,添加一个或多个安全组,以向用户或设备帐户授予“读取”和“注册”权限。