Puncte:0

Autoritatea de certificare a domeniului părinte pentru domeniile secundare

drapel cn

Am un domeniu părinte și 2 domenii secundare ale acelui părinte. Toate serverele sunt Windows Server 2019. Lucrez la implementarea unui software de securitate și trebuie să obțin un certificat valid de la Autoritatea de Certificare. Autoritatea de certificare se află pe un server de pe domeniul părinte.

Când mă duc să obțin un certificat de computer pe o mașină de domeniu Child, computerul nu afișează șabloane sau locații din care să scoată certificatul. Pot extrage un certificat de la CA pe o mașină de pe domeniul părinte fără probleme.

Există vreo modalitate de a trece capacitatea de a extrage un certificat de computer pentru computerul din domeniul copil de la CA părinte?

drapel cn
Care sunt permisiunile pentru șabloane?
Puncte:1
drapel cn

There are several options how to accomplish this and all are group membership related. The easiest option would be to add "Domain Computers" group from child domain to certificate templates permissions and grant required permissions (Read, Enroll and, possibly, Autoenroll).

However, I would use more AGLP-oriented approach:

  • in forest root domain, create a universal security group called "Enterprise Domain Computers"
  • Add "Domain Computers" and "Domain Controllers" groups from all, root and child domains to this new "Enterprise Domain Computer" universal group

Then, in certificate templates console (certtmpl.msc), select properties of desired template, navigate to Security tab and assign permissions to this new universal group.

This may take some time until all DCs will replicate groups and membership updates. In addition, a computer must be restarted in order to pick new group membership, or wait for up to 10 hours until kerberos ticket is updated.

drapel cn
wow, asta suna foarte simplu. Grupul trebuie să fie localizat într-un loc specific în A/D-ul părinte? Majoritatea grupului nostru locuiește în grupul de utilizatori, deoarece sunt în mare parte grupuri de utilizatori. Când am creat grupul Enterprise Domain Computers, unde ar trebui să îl pun la nivelul Parent A/D?
drapel cn
„Trebuie ca grupul să fie localizat într-un loc specific în A/D părinte” - depinde de modul în care sunt organizate OU, nu contează. Ar trebui doar definit acolo.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.