我们的 AD 域中有两个中级企业 CA(Windows AD CS)。两个 CA 都仅启用了证书颁发机构角色。
CA1 负责向工作站和用户颁发证书,并具有模板工作站认证。
CA2 负责向服务器颁发证书,并有一个模板服务器认证。
自动注册功能在我们域内的所有工作站和服务器上均已启用并正常运行。
问题:
工作站应该只针对 CA1 进行自动注册,
而服务器应该只针对 CA2 进行自动注册。
我想使用组策略来实现这一点。
我知道我可以只允许安全组成员在模板上自动注册,这样就可以了。
但是,我更喜欢使用组策略的解决方案,因为我们将工作站和服务器组织在不同的 OU 中。我可以使用 OU 上的组策略来定位这两个组。安全组解决方案需要我们在此基础上管理两个新的安全组。
是否可以将工作站或服务器配置为仅从特定企业 CA 自动注册?如果可以使用组策略实现,我愿意接受其他替代方案。
答案1
如果可以使用组策略实现替代方案,我愿意接受。
我认为你走错了方向。解决方案是根据问题选择的,而不是相反的。你的要求(仅限 GPO)不是由问题决定的。
我们来集中讨论一个问题:
- 工作站应仅针对 CA1 进行自动注册
- 并且服务器应该只针对 CA2 进行自动注册
此任务通过权限解决。将工作站放入安全组(假设为“工作站”)并授予“工作站身份验证”证书模板读取、注册和自动注册权限。仅将此模板分配给 CA1。
将服务器放入安全组(假设为“服务器”)并授予“服务器身份验证”证书模板读取、注册和自动注册权限。仅将此模板分配给 CA2。
单个自动注册 GPO 可应用于顶级 OU 甚至域级别。将自动注册 GPO 应用于域级别是一种很好的做法,而确切的自动注册设置(谁和哪些模板可用于自动注册)由证书模板权限和模板分配给相应的 CA 来控制。