înregistrare Logare
Puncte:0
Daniel avatar Server

Vizează un anumit CA Enterprise pentru înregistrarea automată?

drapel in
Daniel

Avem două CA intermediare Enterprise (Windows AD CS) în domeniul nostru AD. Ambele CA au doar rolul de Autoritate de Certificare activat.

CA1 este responsabil pentru emiterea de certificate pentru stațiile de lucru și utilizatori și are un șablon Stație de lucru Auth.

CA2 este responsabil pentru emiterea de certificate către servere și are un șablon Autentificare server.

Înregistrarea automată este activată pe toate stațiile de lucru și serverele din domeniul nostru și în funcțiune.

Problemă:

Stațiile de lucru ar trebui să vizeze numai CA1 pentru înregistrarea automată
iar serverele ar trebui să vizeze doar CA2 pentru înregistrarea automată.

Vreau să realizez acest lucru folosind politici de grup.

Știu că pot permite înregistrarea automată pe un șablon numai pentru membrii grupurilor de securitate și asta ar funcționa.

Cu toate acestea, prefer o soluție care folosește politici de grup, deoarece organizăm stațiile de lucru și serverele în diferite OU. Pot viza ambele grupuri cu politici de grup privind OU. Soluția de grup de securitate ar necesita să gestionăm două noi grupuri de securitate pe lângă asta.

Este posibil să configurați o stație de lucru sau un server pentru a se înregistra automat doar de la o anumită CA Enterprise? Sunt deschis la alternative, dacă acestea pot fi realizate folosind politici de grup.

30
0 + 0
pki
Puncte:1
avatar Server
drapel cn
Crypt32

Sunt deschis la alternative, dacă acestea pot fi realizate folosind politici de grup.

Cred că ai mers în direcția greșită. Soluția se alege pe baza unei probleme, nu invers. Cerința dvs. (numai GPO) nu este justificată de o problemă.

Să ne concentrăm pe o problemă:

  • Stațiile de lucru ar trebui să vizeze numai CA1 pentru înregistrarea automată
  • iar serverele ar trebui să vizeze doar CA2 pentru înregistrarea automată

această sarcină este rezolvată prin permisiuni. Puneți stațiile de lucru într-un grup de securitate (să spunem „stații de lucru”) și acordați permisiuni de citire, înscriere și înscriere automată șablonului de certificat „Autentificare stație de lucru”. Atribuiți acest șablon numai la CA1.

Puneți serverele într-un grup de securitate (să spunem „Servere”) și acordați permisiuni de citire, înscriere și înscriere automată șablonului de certificat „Autentificare server”. Atribuiți acest șablon numai la CA2.

GPO de înscriere automată unică poate fi aplicat la OU de nivel superior sau chiar la nivel de domeniu. Este o bună practică ca GPO de înscriere automată să fie aplicat la nivel de domeniu și setările exacte de înregistrare automată (cine și ce șabloane pot folosi pentru înregistrarea automată) sunt controlate de permisiunile șablonului de certificat și de atribuirea șablonului către CA corespunzătoare.

0 + 0
Daniel avatar
drapel in
Daniel
Multumesc pentru raspuns. Este posibil să îi spunem unui client ce server ADCS să vizeze pentru înregistrarea automată? Sunt de acord că folosirea grupurilor de securitate, dacă este de preferat, dar nu sunt de acord cu evaluarea dvs., că abordarea mea este o practică proastă. Grupurile de securitate impun activități suplimentare în mediul nostru actual. Este o practică normală să implementez politici bazate pe OU, abordarea mea este în conformitate cu asta.
0
Răspunde
drapel cn
Crypt32
„Este posibil să spunem unui client ce server ADCS să țintească pentru înregistrarea automată?” -- nu. Am subliniat cum ar trebui făcut în conformitate cu cele mai bune practici. „Este o practică normală să implementați politici bazate pe OU” -- nu pentru înscrierea automată din cauza specificului său.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.