4
Unternehmens-CA in Active Directory
Hallo Leute,
wir haben seit kurzem eine Unternehmens-CA im Active Directory installiert. Alles läuft soweit ganz gut.
Mittlerweile ist mir aufgefallen, dass sämtliche Computer in der AD ein Computerzertifikat von der Active-Directory bekommen haben. Wissentlich habe ich die automatische Zertifikatsregistrierung nicht angeschaltet...also habe ich mich mal auf die Suche gemacht. Dabei ist mir folgendes direkt aufgefallen:
Die automatische Zertifikatsregistrierung ist auf "Nicht konfiguriert" (Screenshot Nr.1) eingestellt. Die GPO-Schnellansicht (Screenshot Nr.2) zeigt allerdings, dass doch irgendwas konfiguriert ist.
Meine Frage:
Ist die Konfiguration so jetzt quasi eine Standardeinstellung nachdem man eine Unternehmens-CA-Installiert hat? Das bedeutet jetzt, jeder Computer & Server erstellt sich automatisch ein Zertifikat?
Zusatzfrage 1:
Zusatzfrage 2:
wir haben seit kurzem eine Unternehmens-CA im Active Directory installiert. Alles läuft soweit ganz gut.
Mittlerweile ist mir aufgefallen, dass sämtliche Computer in der AD ein Computerzertifikat von der Active-Directory bekommen haben. Wissentlich habe ich die automatische Zertifikatsregistrierung nicht angeschaltet...also habe ich mich mal auf die Suche gemacht. Dabei ist mir folgendes direkt aufgefallen:
Die automatische Zertifikatsregistrierung ist auf "Nicht konfiguriert" (Screenshot Nr.1) eingestellt. Die GPO-Schnellansicht (Screenshot Nr.2) zeigt allerdings, dass doch irgendwas konfiguriert ist.
Meine Frage:
Ist die Konfiguration so jetzt quasi eine Standardeinstellung nachdem man eine Unternehmens-CA-Installiert hat? Das bedeutet jetzt, jeder Computer & Server erstellt sich automatisch ein Zertifikat?
Zusatzfrage 1:
Zusatzfrage 2:
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 280992
Url: https://administrator.de/contentid/280992
Printed on: April 25, 2024 at 00:04 o'clock
4 Comments
Latest comment
Hallo,
am Montag alle Leute anrufen "das nichts mehr geht und man nirgends rein kommt", oder?
Und Vertrauensstellungen sind ja auch definiert worden.
Hintergrund einer solchen Angelegenheit, ich kann jetzt nicht einfach einen PC "abstöpseln" und meinen
"anstöpseln," dann wird gemeckert! Das Ziel ist ja eigentlich Geräte ohne Zertifikat abzulehnen und
nicht in das Netzwerk zu lassen!
Gruß
Dobby
dass sämtliche Computer in der AD ein Computerzertifikat von der Active-Directory bekommen haben.
Ist doch gut für Dich wenn Du Dich nicht auch noch um die Verteilung kümmern musst und Dicham Montag alle Leute anrufen "das nichts mehr geht und man nirgends rein kommt", oder?
Das bedeutet jetzt, jeder Computer & Server
Nur jene die auch Kontakt zum AD haben, da sind ja Konten angelegt für die MA, oder nicht?Und Vertrauensstellungen sind ja auch definiert worden.
erstellt sich automatisch ein Zertifikat?
Nein, denn für die wird ein Zertifikat erstellt! Das machen die nicht selber! das ist ja auch eigentlich derHintergrund einer solchen Angelegenheit, ich kann jetzt nicht einfach einen PC "abstöpseln" und meinen
"anstöpseln," dann wird gemeckert! Das Ziel ist ja eigentlich Geräte ohne Zertifikat abzulehnen und
nicht in das Netzwerk zu lassen!
Gruß
Dobby
Read and understand 
http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_ ...
Gruß grexit
http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_ ...
Gruß grexit
Danke für die Antworten!
Die Computer sollen sich ja ein Zertifikat automatisch ziehen! Wie du schon angemerkt hast habe ich keine Lust noch Zertifikate für jeden Rechner zu verteilen...mir ging es eher darum, warum das jetzt ohne mein zutun passiert ist. Allerdings habe ich in den Einstellungen im Link von "grexit" die jeweiligen Einstellungen gefunden. Ich habe auf Nachfrage von meinem Kollegen erfahren, dass so um 2006-2007 schon eine CA in unserer 2003er-AD installiert wurde und dann wegen "brauchen wir nicht" wieder verworfen/deinstalliert wurde - zu dieser Zeit hat hier noch keiner an mich gedacht. Evtl. ist die Richtlinie von damals noch übrig geblieben.
Noch zwei Fragen:
1)
Die Einstellungen für die automatische Zertifikatsregistrierung sind jetzt im Benutzer-Teil und im Computer-Teil der GPO aktiviert - dies soll auch so sein. D.h. die Benutzer können sich z.B. über die MMC/Zertifikate unter "Eigene Zertifikate" ein eigenes Zertifikat erstellen. Durch den Wizard können Sie nur die AD-Registrierungsrichtline auswählen - andere Richtlinien und Richtlinienserver sind durch die GPO "Zertifikatsdienstclient - Zertifikatsregistrierungsrichtlinie" "deaktiviert.
Im nächsten Step landen die User bei der Vorlagenauswahl. Jetzt zu meiner Frage: dort stehen ziemlich viele verschiedene Vorlagen drin....unter anderem Administrator, Basis-EFS etc. Ich würde gerne alle Vorlagen bis auf die "Benutzervorlage" entfernen.
Könnte es dadurch zu Problemen kommen? Insbesondere die "Administrator"-Vorlage - nicht das mein Admininistrator-Accout irgendwann kein Zertifikat mehr bekommt und alles steht....(habe einen Screenshot in den Frage oben gestellt".
2)
Sollte die GPO "Überprüfung des Zertifikatpfades" konfiguriert werden...bzw. was macht diese genau??? (noch ein Screenshot in der "Start-Frage")
Die Computer sollen sich ja ein Zertifikat automatisch ziehen! Wie du schon angemerkt hast habe ich keine Lust noch Zertifikate für jeden Rechner zu verteilen...mir ging es eher darum, warum das jetzt ohne mein zutun passiert ist. Allerdings habe ich in den Einstellungen im Link von "grexit" die jeweiligen Einstellungen gefunden. Ich habe auf Nachfrage von meinem Kollegen erfahren, dass so um 2006-2007 schon eine CA in unserer 2003er-AD installiert wurde und dann wegen "brauchen wir nicht" wieder verworfen/deinstalliert wurde - zu dieser Zeit hat hier noch keiner an mich gedacht. Evtl. ist die Richtlinie von damals noch übrig geblieben.
Noch zwei Fragen:
1)
Die Einstellungen für die automatische Zertifikatsregistrierung sind jetzt im Benutzer-Teil und im Computer-Teil der GPO aktiviert - dies soll auch so sein. D.h. die Benutzer können sich z.B. über die MMC/Zertifikate unter "Eigene Zertifikate" ein eigenes Zertifikat erstellen. Durch den Wizard können Sie nur die AD-Registrierungsrichtline auswählen - andere Richtlinien und Richtlinienserver sind durch die GPO "Zertifikatsdienstclient - Zertifikatsregistrierungsrichtlinie" "deaktiviert.
Im nächsten Step landen die User bei der Vorlagenauswahl. Jetzt zu meiner Frage: dort stehen ziemlich viele verschiedene Vorlagen drin....unter anderem Administrator, Basis-EFS etc. Ich würde gerne alle Vorlagen bis auf die "Benutzervorlage" entfernen.
Könnte es dadurch zu Problemen kommen? Insbesondere die "Administrator"-Vorlage - nicht das mein Admininistrator-Accout irgendwann kein Zertifikat mehr bekommt und alles steht....(habe einen Screenshot in den Frage oben gestellt".
2)
Sollte die GPO "Überprüfung des Zertifikatpfades" konfiguriert werden...bzw. was macht diese genau??? (noch ein Screenshot in der "Start-Frage")
Hallo,
Zu Frage 1:
Zertifizierungsstelle -> Rechte Maustaste auf Zertifikatvorlagen -> Verwalten
In der Zertifikatvorlagenverwaltung kannst du in den Eigenschaften jeder Vorlage unter dem Reiter Sicherheit festlegen wer aufgrund der Vorlage ein Zertifikat anfordern/registrieren darf. Der Benutzer oder besser die Sicherheitsgruppe des Benutzers muss mittelbar oder unmittelbar das Lese- und Registrieren-Recht besitzen damit es in der Zertifikatanforderung (dein Bild zu Frage 1) auftaucht. Solltest du eine Vorlage gar nicht brauchen deaktiviere sie einfach:
Zertifizierungsstelle -> Zertifikatvorlagen -> Rechte Maustaste auf die Vorlage -> Löschen (Löschen heißt hier, dass die Vorlage in der Zertifikatvorlagenverwaltung noch existiert, aber nicht aktiv ist)
Zu Frage 2:
Technet-Artikel
Hier sollte alles über die GPO stehen. Ich selbst habe sie nie konfiguriert, da der bedarf nie da war. Es soll unter Anderem der Sicherheitserhöhung dienen. Benutzer können damit zum Beispiel nicht ihre eigenen Zertifikatsspeicher für vertrauenswürdige Stammzertifizierungszertifikate konfigurieren, um nicht irgendeine dubiose .crt-Datei aus dem Netz dort einzufügen. So hab ich das jedenfalls rausgelesen.
Grüße
Winary
Zu Frage 1:
Zertifizierungsstelle -> Rechte Maustaste auf Zertifikatvorlagen -> Verwalten
In der Zertifikatvorlagenverwaltung kannst du in den Eigenschaften jeder Vorlage unter dem Reiter Sicherheit festlegen wer aufgrund der Vorlage ein Zertifikat anfordern/registrieren darf. Der Benutzer oder besser die Sicherheitsgruppe des Benutzers muss mittelbar oder unmittelbar das Lese- und Registrieren-Recht besitzen damit es in der Zertifikatanforderung (dein Bild zu Frage 1) auftaucht. Solltest du eine Vorlage gar nicht brauchen deaktiviere sie einfach:
Zertifizierungsstelle -> Zertifikatvorlagen -> Rechte Maustaste auf die Vorlage -> Löschen (Löschen heißt hier, dass die Vorlage in der Zertifikatvorlagenverwaltung noch existiert, aber nicht aktiv ist)
Zu Frage 2:
Technet-Artikel
Hier sollte alles über die GPO stehen. Ich selbst habe sie nie konfiguriert, da der bedarf nie da war. Es soll unter Anderem der Sicherheitserhöhung dienen. Benutzer können damit zum Beispiel nicht ihre eigenen Zertifikatsspeicher für vertrauenswürdige Stammzertifizierungszertifikate konfigurieren, um nicht irgendeine dubiose .crt-Datei aus dem Netz dort einzufügen. So hab ich das jedenfalls rausgelesen.
Grüße
Winary
