如何以编程方式设置 CA 的 ACL？

这些 ACL 略有不同。AD 对象上的 ACL 仅影响 AD 条目，不会传播到 CA。

您在 CA 管理控制台中看到的 ACL 存储在注册表中的 CA 配置中。

我不确定是否有一种简单的方法可以使用 PowerShell 本地编辑 CA 上的权限（无需第三方工具）。不过，我建议使用PowerShell PKI模块来简化任务。该模块包含几个与 ACL 相关的命令：

• 连接认证机构
• 获取证书颁发机构Acl
• 添加证书颁发机构Acl
• 删除-CertificationAuthorityAcl
• 设置 CertificationAuthorityAcl

ps 我是这个 PSPKI 模块的作者

每个命令都有内置和在线帮助，并提供有关如何使用每个命令的有用示例。

感谢指点Crypt32和一些额外的来源¹，我想出了此外需要在 CA 注册表中执行以下更改：

# Get binary security descriptor of the CA from the registry
$sd_bin = Get-ItemPropertyValue -Path 'Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\MY-CA' -Name 'Security'

# Create security descriptor object of it
$sd = New-Object -TypeName System.Security.AccessControl.CommonSecurityDescriptor -ArgumentList @($false, $false, $sd_bin, 0)

# Modify the DACL in place
$sd.DiscretionaryAcl.AddAccess([System.Security.AccessControl.AccessControlType]::Allow, "<SID>", <INT32_PERMISSIONS>, [System.Security.AccessControl.InheritanceFlags]::None, [System.Security.AccessControl.PropagationFlags]::None)

# Convert the security descriptor back to binary form
$sd_bin_new = [System.Byte[]]::CreateInstance([System.Byte], $sd.BinaryLength)
$sd.GetBinaryForm($sd_bin_new, 0)

# Write it back to the registry
Set-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\MY-CA' -Name 'Security' -Value $sd_bin_new

# Restart the certificate services
Restart-Service -Name CertSvc

¹进一步阅读：

• TechNet：使用 Powershell 设置证书颁发机构安全权限
• SO:Powershell SDDL 修改
• CommonSecurityDescriptor 类
• （使用 PowerShell 将 SDDL 转换为二进制格式）
• （Win32_SecurityDescriptorHelper 类）