在 Configuration Manager 中規劃憑證配置檔的證書範本許可權
適用於:Configuration Manager (目前的分支)
重要事項
從 2203 版開始,不再支援此公司資源存取功能。 如需詳細資訊,請 參閱資源存取淘汰的常見問題。
下列資訊可協助您規劃如何為部署憑證配置檔時 Configuration Manager 使用的證書範本設定許可權。
默認安全性許可權和考慮
Configuration Manager 將用來要求使用者和裝置憑證的證書範本所需的預設安全性許可權如下:
讀取和註冊網路裝置註冊服務應用程式集區所使用的帳戶
讀取執行 Configuration Manager 主控台的帳戶
如需這些安全性許可權的詳細資訊,請 參閱設定憑證基礎結構。
當您使用此預設設定時,使用者和裝置無法直接向證書範本要求憑證,而且所有要求都必須由網路裝置註冊服務起始。 這是一個重要的限制,因為這些證書範本必須在憑證主體 的要求中 設定 [提供],這表示如果惡意使用者或遭入侵的裝置要求憑證,就會有仿真的風險。 在預設組態中,網路裝置註冊服務必須起始這類要求。 不過,如果執行網路裝置註冊服務的服務遭到入侵,則此模擬風險仍然存在。 若要協助避免此風險,請遵循網路裝置註冊服務和執行此角色服務之計算機的所有安全性最佳做法。
如果預設安全性許可權無法滿足您的商務需求,您可以選擇在證書範本上設定安全性許可權:您可以為使用者和計算機新增讀取和註冊許可權。
新增使用者和計算機的讀取和註冊許可權
如果個別小組管理您的證書頒發機構單位 (CA) 基礎結構小組,且該個別小組想要 Configuration Manager 在傳送憑證配置檔來要求用戶憑證之前,先確認使用者具有有效的 Active Directory 網域服務 帳戶,則為使用者和計算機新增讀取和註冊許可權可能很適當。 針對此設定,您必須指定包含使用者的一或多個安全組,然後授與這些群組憑證範本的讀取和註冊許可權。 在此案例中,CA 系統管理員會管理安全性控制。
同樣地,您可以指定一或多個包含計算機帳戶的安全組,並授與這些群組憑證範本的讀取和註冊許可權。 如果您將計算機憑證配置檔部署到屬於網域成員的計算機,則必須授與該計算機的計算機帳戶讀取和註冊許可權。 如果計算機不是網域成員,則不需要這些許可權。 例如,如果它是工作組計算機或個人行動裝置。
雖然此設定使用另一個安全性控件,但我們不建議將其作為最佳做法。 原因是裝置的指定使用者或擁有者可能會要求與 Configuration Manager 無關的憑證,併為可能用來模擬其他使用者或裝置的憑證 Subject 提供值。
此外,如果您指定在發生憑證要求時無法驗證的帳戶,憑證要求預設會失敗。 例如,如果執行網路裝置註冊服務的伺服器位於包含憑證登錄點月台系統伺服器之樹系不受信任的 Active Directory 樹系中,憑證要求將會失敗。 如果帳戶因為域控制器沒有回應而無法驗證,您可以將憑證登錄點設定為繼續。 不過,這不是安全性最佳做法。
如果憑證註冊點設定為檢查帳戶許可權,且域控制器可供使用,並拒絕驗證要求 (例如,帳戶會遭到鎖定或已刪除) ,則憑證註冊要求將會失敗。
檢查使用者和網域成員計算機的讀取和註冊許可權
在裝載憑證登錄點的站台系統伺服器上,建立下列 DWORD 登錄機碼,其值為 0:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
如果因為域控制器沒有回應而無法驗證帳戶,而且您想要略過許可權檢查:
- 在裝載憑證登錄點的站台系統伺服器上,建立下列 DWORD 登錄機碼,其值為 1:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
在發行 CA 的證書範本屬性的 [ 安全 性] 索引標籤上,新增一或多個安全組,以授與使用者或裝置帳戶讀取和註冊許可權。