我最近设置了 AD 证书服务,虽然我不能说我熟悉它的每个方面,但它似乎运行正常。
我可以设置自动注册,而且这可以正常工作,但我认为我应该有多个模板,一个用于服务器,一个用于客户端。我不知道为什么我应该使用不同的模板,但这似乎很合理。
我遇到的问题是,如果我有多个自动注册模板,客户端将同时注册这两个模板。避免这种情况的唯一方法是创建安全组并将客户端放在一个组中,将服务器放在另一个组中,但这似乎违背了自动注册的目的,因为我必须手动将机器帐户添加到适当的组中。
对我来说,能够应用基于组织单位的过滤器,或者采用两个单独的策略并定义要使用的模板更有意义。我相信我可以使用 powershell 脚本根据组织单位自动执行组成员身份,但这似乎有点不必要。
我这里遗漏了什么吗?