我在两个不同的林中有两个 Active Directory 域,所有域都处于 Windows Server 2008 R2 功能级别。域之间存在双向林信任。
域 A 包含 Windows Server 2008 R2 企业根证书颁发机构;其根证书受到域中所有计算机的信任;有自动注册策略可以自动向域中的每台计算机颁发计算机证书(通常向 DC 颁发多个证书)。
域 B 不包含任何证书颁发机构,但域 A 的 CA 的根证书通过组策略被分配为域中所有计算机的受信任的根证书,因此该 CA 颁发的任何证书都被视为有效。
我是否可以在域 B 中配置自动注册策略,以便域 B 中的每台计算机自动从域 A 中的证书颁发机构请求并获取证书?
如果是,怎么办?
答案1
跨林注册可以按照以下指南完成:http://technet.microsoft.com/en-us/library/ff955842(v=ws.10).aspx. 这将复制支持自动注册所需的模板和安全主体。
警告:我仅使用它来支持 Web 注册,因此我尚未亲自验证它是否可以通过组策略推送。话虽如此,如果不能,我知道可以通过调用 CertUtil 的启动脚本来完成。