我有一个父域和该父域的 2 个子域。所有服务器都是 Windows Server 2019。我正在部署安全软件,需要从证书颁发机构获取有效证书。证书颁发机构位于父域的服务器上。
当我去子域机器上获取计算机证书时,计算机没有显示任何模板或位置来提取证书。我能够毫无问题地从父域机器上的 CA 提取证书。
是否有某种方法可以从父 CA 提取子域计算机的计算机证书?
答案1
有多种方法可以实现此目的,并且都与组成员身份有关。最简单的方法是将子域中的“域计算机”组添加到证书模板权限并授予所需的权限(读取、注册以及可能的自动注册)。
不过,我会使用更多以 AGLP 为导向的方法:
- 在林根域中,创建一个名为“企业域计算机”的通用安全组
- 将所有域、根域和子域中的“域计算机”和“域控制器”组添加到这个新的“企业域计算机”通用组
然后,在证书模板控制台(certtmpl.msc)中,选择所需模板的属性,导航到“安全”选项卡并为这个新的通用组分配权限。
所有 DC 复制组和成员资格更新可能需要一些时间。此外,必须重新启动计算机才能选择新的组成员资格,或者等待最多 10 小时,直到 Kerberos 票证更新。