我在加入域的 Server 2016 Enterprise CA 上发布了一个证书模板 - 我正在尝试为我们的内部网络服务器设置证书自动注册。
当模板具有直接授予计算机帐户的读取/注册/自动注册权限时,相关计算机可以自动注册。
当将读取/注册/自动注册权限分配给内置组“域计算机”时,(任何)加入域的计算机也可以自动注册。
当将安全权限分配给包含计算机帐户作为成员的全局安全组时,这些计算机无法自动注册。当使用计算机证书管理器中的“请求新证书”时 - 我可以选择相关模板,但失败并显示错误“证书模板上的权限不允许当前用户注册此类证书”。在应该具有注册权限的计算机上执行 GPUpdate 时,我可以看到 CA 出现故障。
我怀疑我忽略了一些愚蠢的东西——有什么建议可以检查吗?
答案1
更改安全组成员身份后,您需要重新启动服务器。