Autoritatea de certificare a domeniului părinte pentru domeniile secundare

Am un domeniu părinte și 2 domenii secundare ale acelui părinte. Toate serverele sunt Windows Server 2019. Lucrez la implementarea unui software de securitate și trebuie să obțin un certificat valid de la Autoritatea de Certificare. Autoritatea de certificare se află pe un server de pe domeniul părinte.

Când mă duc să obțin un certificat de computer pe o mașină de domeniu Child, computerul nu afișează șabloane sau locații din care să scoată certificatul. Pot extrage un certificat de la CA pe o mașină de pe domeniul părinte fără probleme.

Există vreo modalitate de a trece capacitatea de a extrage un certificat de computer pentru computerul din domeniul copil de la CA părinte?

There are several options how to accomplish this and all are group membership related. The easiest option would be to add "Domain Computers" group from child domain to certificate templates permissions and grant required permissions (Read, Enroll and, possibly, Autoenroll).

However, I would use more AGLP-oriented approach:

• in forest root domain, create a universal security group called "Enterprise Domain Computers"
• Add "Domain Computers" and "Domain Controllers" groups from all, root and child domains to this new "Enterprise Domain Computer" universal group

Then, in certificate templates console (certtmpl.msc), select properties of desired template, navigate to Security tab and assign permissions to this new universal group.

This may take some time until all DCs will replicate groups and membership updates. In addition, a computer must be restarted in order to pick new group membership, or wait for up to 10 hours until kerberos ticket is updated.