Num�ro d'article: 281271 - Derni�re mise � jour: mercredi 25 f�vrier 2009 - Version: 8.0

Configuration d'autorit� de certification � publier des certificats dans Active Directory du domaine approuv�

Cliquez ici si vous souhaitez afficher en c�te � c�te l?article anglais et sa traduction automatique en fran�ais

ATTENTION : Cet article est issu du syst�me de traduction automatique

Voir les produits auxquels s'applique cet article

A noterCet article s'applique � un syst�me d'exploitation diff�rent de celui que vous utilisez. Le contenu de l'article qui ne vous concerne peut-�tre pas est d�sactiv�.

Dans les sc�narios suivants, si un utilisateur du m�me domaine tant qu'autorit� de certification (CA) demande un certificat, le certificat �mis est publi� dans Active Directory. Toutefois, si l'utilisateur provient d'un domaine enfant, ce processus n'aboutit pas. En outre, lorsque les utilisateurs du m�me domaine en tant qu'autorit� de certification demandent un certificat, le certificat �mis peut-�tre ne pas �tre publi� dans Active Directory.

Sc�nario 1
Dans ce sc�nario, l'autorit� de certification ne publie pas les certificats �mis � objet de service d'annuaire de l'utilisateur dans le domaine enfant lorsque les conditions suivantes sont trues :

L'utilisateur est dans une hi�rarchie de domaine de deux niveaux avec un parent et un domaine enfant.
L'autorit� de certification d'entreprise se trouve sur le domaine parent et l'utilisateur est dans le domaine enfant.
L'utilisateur dans le domaine enfant inscrire � l'autorit� de certification parente.

Dans une hi�rarchie de domaine de deux niveaux avec un parent et un domaine enfant, l'autorit� de certification d'entreprise se trouve dans le domaine parent et les utilisateurs se trouvent dans le domaine enfant. Les utilisateurs du domaine enfant s'inscrire dans le parent de l'autorit� de certification, et l'autorit� de certification publie des certificats d�livr�s sur l'objet de l'utilisateur DS dans le domaine enfant.

Sc�nario 2
Envisagez le sc�nario suivant :

L'utilisateur est dans un domaine de niveau unique ou un domaine parent.
L'autorit� de certification d'entreprise se trouve sur le domaine parent.
Les contr�leurs de domaine ne sont install� de correctif 327825 ou Windows 2000 Service Pack 4 (SP4) est install�.
L'utilisateur, soit dans le seul niveau ou parent du domaine, s'inscrit dans l'autorit� de certification de niveau ou l'autorit� de certification parente.

Dans ce sc�nario, l'autorit� de certification ne publie pas les certificats �mis � objet de serveur de domaine de l'utilisateur dans le domaine de niveau unique ou dans le domaine parent.

Retour au d�but

Cause

Sc�nario 1: Hi�rarchie du domaine au niveau deux

Les utilisateurs du domaine enfant n'aient pas les autorisations appropri�es inscrire. M�me lorsqu'ils le font, l'autorit� de certification n'a pas autorisations d'acc�s publier le certificat � Active Directory.

Par d�faut, uniquement les utilisateurs de domaine du domaine m�me que l'autorit� de certification ont inscrivent autorisations.

Par d�faut, l'autorit� de certification poss�de les autorisations n�cessaires suivantes accord�es sur les utilisateurs au sein de son domaine :

Lire userCertificate
�crire userCertificate

L'autorit� de certification dans le domaine parent n'a pas d'autorisations � la propri�t� userCertificate sur les utilisateurs du domaine enfant.

Retour au d�but

Sc�nario 2 : Domaine de niveau unique ou le domaine parent

Par d�faut dans Windows 2000, l'objet AdminSDHolder n'accorde pas que les autorisations n�cessaires pour les comptes d'utilisateurs qui sont couverts par le processus AdminSDHolder de groupe Cert Publishers. La liste suivante contient les groupes de comptes utilisateur prot�g� dans Windows 2000 :

Administrateurs de l'entreprise
Administrateurs du sch�ma
Les administrateurs du domaine
Administrateurs

Apr�s avoir appliqu� le correctif d�crit dans l'article 327825 de la base de connaissances Microsoft ou apr�s l'installation de Windows 2000 SP4, la liste suivante de compte d'utilisateur des groupes dans Windows Server 2003 et dans Windows 2000 sont d�sormais prot�g�es par groupes de comptes d'utilisateur :

Administrateurs
Op�rateurs de compte
Op�rateurs de serveur
Op�rateurs d'impression
Op�rateurs de sauvegarde
Les administrateurs du domaine
Administrateurs du sch�ma
Administrateurs de l'entreprise
�diteurs de certificats

Retour au d�but

R�solution

Sc�nario 1: Hi�rarchie du domaine au niveau deux

Pour activer les utilisateurs du domaine enfant obtenir des certificats et publication vers Active Directory, proc�dez comme suit :

D�finir les autorisations sur le mod�le de l'autorit� de certification pour autoriser les demandes d'inscription. D�finir l'utilisateur autorisations d'objet pour permettre � l'autorit� de certification pour publier le certificat. Modifier AdminSDHolder pour pousser les autorisations d'objet utilisateur vers les utilisateurs qui sont des administrateurs.
D�finir l'utilisateur autorisations d'objet pour permettre � l'autorit� de certification pour publier le certificat. Modifier AdminSDHolder pour pousser les autorisations d'objet utilisateur vers les utilisateurs qui sont des administrateurs.
Modifier AdminSDHolder pour pousser les autorisations d'objet utilisateur vers les utilisateurs qui sont des administrateurs.

Remarque Vous devez tout d'abord installer les outils de support dans le Windows Professionnel ou le Windows Server CD-ROM.

Pour permettre les utilisateurs de domaine enfant d'obtenir des certificats et la publication vers Active Directory

D�finir des autorisations sur l'autorit� de certification pour permettre aux utilisateurs du domaine enfant de demander un certificat. Par d�faut, cela doit �tre en place.
1. Ouvrez le composant logiciel enfichable Autorit� de certification, cliquez avec le bouton droit sur l'autorit� de certification, puis cliquez sur Propri�t�s.
2. Sous l'onglet s�curit�, assurez-vous que le groupe Utilisateurs authentifi�s est autoris� � demander des certificats.
D�finir des autorisations sur les mod�les de certificats applicables pour permettre aux utilisateurs du domaine enfant de s'inscrire.

Remarque Vous devez avoir ouvert une session le domaine racine avec des droits d'administrateur de domaine.
1. Ouvrez le composant logiciel enfichable Active Directory Sites et services.
2. Cliquez sur affichage, puis cliquez sur Afficher le n?ud des services.
3. D�veloppez le dossier du n?ud des services, d�veloppez Public Key Services, puis cliquez sur Mod�les de certificats.
4. Dans le volet de d�tails, s�lectionnez le mod�le souhait�, ou les mod�les. Par exemple, cliquez avec le bouton droit sur le mod�le de certificat utilisateur et puis cliquez sur Propri�t�s.
5. Sous l'onglet s�curit�, octroi inscrire les autorisations au groupe de votre choix, such as Authenticated Users.
Configurer le module de sortie de l'autorit� de certification pour publier des certificats dans Active Directory.
1. Dans le composant logiciel enfichable Autorit� de certification, cliquez avec le bouton droit sur l'autorit� de certification, puis cliquez sur Propri�t�s.
2. Sous l'onglet Module de sortie, cliquez sur configurer.
3. Dans les propri�t�s pour le module de sortie, cliquez pour s�lectionner la case Autoriser les certificats � publier dans Active Directory.
Sur le contr�leur de domaine enfant :

Remarque Dans les domaines Windows 2000 et dans les domaines Windows Server 2003 qui ont �t� mis � niveau � partir de Windows 2000, le groupe �diteurs de certificats est un groupe global de domaine. Vous devez ajouter manuellement le groupe Cert Publishers � chaque domaine enfant.

Domaines pour Windows Server 2003

Vous pouvez activer les utilisateurs de domaine enfant pour obtenir des certificats et que publication dans les domaines Windows Server 2003 mis � niveau. Pour ce faire, remplacez le groupe de Domaine Local et inclure le serveur de l'autorit� de certification du domaine parent. Cette proc�dure cr�e la m�me configuration est pr�sente dans un domaine Windows Server 2003 nouvellement install�. L'interface utilisateur (IU) ne permet pas vous changer le type de groupe. Toutefois, vous pouvez utiliser la commande dsmod pour modifier le groupe �diteurs de certificats � partir d'un groupe global de domaine � un groupe local de domaine. Pour ce faire, utilisez la syntaxe suivante :
dsmod group Group Distinguished Name - scope l
Remarque Dans certains cas, vous ne pouvez pas modifier groupType directement � partir de global au groupe local de domaine. Dans ce cas, vous devez modifier le groupe global dans un groupe universel et de modifier le groupe universel dans un groupe de domaine local. Pour ce faire, proc�dez comme suit :
1. Tapez la commande suivante et appuyez sur ENTR�E :
  dsmod group Group Distinguished Name - �tendue u
  Cette commande modifie le groupe global dans un groupe universel.
2. Tapez la commande suivante et appuyez sur ENTR�E :
  dsmod group Group Distinguished Name - scope l
  Cette commande modifie le groupe universel dans un groupe de domaine local.
Domaines pour Windows 2000

Vous pouvez utiliser l'Assistant D�l�gation pour ajouter manuellement des groupe de CERT Publisher du domaine racine � chaque objet utilisateur dans le domaine enfant. Pour ce faire, proc�dez comme suit :
1. Ouvrez le composant logiciel enfichable Active Directory utilisateurs et ordinateurs, puis cliquez avec le bouton droit sur le n?ud du domaine.
2. Cliquez sur d�l�guer le contr�le. L'Assistant D�l�gation d�marre. Dans l'Assistant, proc�dez comme suit :
  1. Cliquez sur suivant, cliquez sur Ajouter et ajoutez le groupe �diteurs de certificats � partir du domaine parent.
  2. Cliquez sur suivant et cliquez sur cr�er une t�che personnalis�e � d�l�guer, puis cliquez sur suivant.
  3. Activez la case � cocher seulement des objets suivants dans le dossier.
  4. Cliquez sur objets utilisateur, puis cliquez sur suivant.
  5. Cliquez sur propri�t� sp�cifique, cliquez sur Read userCertificate, puis cliquez sur Write userCertificate.
  6. Cliquez sur suivant, puis cliquez sur termin�.
Ouvrez le composant logiciel enfichable Active Directory utilisateurs et ordinateurs et cliquez avec le bouton droit sur le n?ud du domaine.
Cliquez sur D�l�gation de contr�le, � moins que l'Assistant d�l�gation d�marre. Dans l'Assistant :
1. Cliquez sur suivant, cliquez sur Ajouter et ajoutez le groupe �diteurs de certificats � partir du domaine parent. Cliquez sur suivant.
2. S�lectionnez l'option cr�er une t�che personnalis�e � d�l�guer, puis cliquez sur suivant.
3. S�lectionnez seulement des objets suivants dans le dossier.
4. S�lectionnez l'option objets utilisateur, puis cliquez sur suivant.
5. S�lectionnez l'option sp�cifique aux propri�t�s.
6. S�lectionnez l'option Read userCertificate.
7. S�lectionnez l'option Write userCertificate.
8. Cliquez sur suivant, puis cliquez sur termin�.
Sur le contr�leur de domaine enfant, � invite de commandes, ex�cutez les deux commandes suivantes, en conservant les guillemets :
dsacls "cn = adminsdholder, cn = system, dc = your domain, dc = com"/G"CA's domain \Cert �diteurs: WP; userCertificate"
dsacls "cn = adminsdholder, cn = system, dc = your domain, dc = com"/G"CA's domain \Cert �diteurs : RP ; userCertificate"
Dans ce cas, dc = your domain, dc = com est le nom unique (DN) de votre domaine enfant, et o� CA's Domain est le nom de domaine dans lequel se trouve l'autorit� de certification.
Remarque Windows Server 2003 SP1 fournit un nouveau groupe de s�curit�, CERTSVC_DCOM_ACCESS. L'utilisateur ou ordinateur demandeur � partir du domaine parent ou enfant doit �tre membre de ce groupe pour pouvoir obtenir ce certificat.

Sur le serveur de l'autorit� de certification, � l'invite de commandes, ex�cutez les trois commandes suivantes :
certutil - setreg SetupStatus - SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc
Pour plus d'informations sur le groupe de s�curit� CERTSVC_DCOM_ACCESS, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
927066� (http://support.microsoft.com/kb/927066/ ) Message d'erreur lorsqu'un ordinateur client demande un certificat � partir d'un ordinateur qui ex�cute Windows Server 2003 avec Service Pack 1: "l'Assistant ne peut pas �tre d�marr� en raison d'un ou plusieurs des conditions suivantes"
Pour plus d'informations sur la fa�on d'ajouter des utilisateurs et les serveurs dans un environnement de for�t crois�e pour le groupe de s�curit� CERTSVC_DCOM_ACCESS re�oit, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
961298� (http://support.microsoft.com/kb/961298/ ) L'inscription automatique ne fonctionne pas dans l'environnement entre for�ts

Retour au d�but

Sc�nario 2 : Domaine de niveau unique ou le domaine parent

Sur le contr�leur de domaine de niveau unique ou sur le contr�leur de domaine parent, � l'invite de commandes, ex�cutez les commandes de deux suivantes, conservant les guillemets :

dsacls "cn = adminsdholder, cn = system, dc dc=<your domain>,dc=<com> "/G" <CA's domain> \Cert �diteurs: WP; userCertificate "

dsacls "cn = adminsdholder, cn = system, dc dc=<your domain>,dc=<com> "/G" <CA's domain> \Cert �diteurs : RP ; userCertificate "

O� dc = your domain, dc = com est le nom unique (DN) de votre domaine enfant, et o� CA's Domain est le nom de domaine dans lequel se trouve l'autorit� de certification.

Retour au d�but

Statut

Microsoft a confirm� l'existence de ce probl�me dans Windows 2000 Server et dans Windows Server 2003.

Retour au d�but

Plus d'informations

Lorsqu'un utilisateur � partir d'un domaine enfant ne parvient pas � l'inscription, l'erreur suivante est g�n�r�e dans le journal des �v�nements de l'autorit� de certification :

Event Type:     Warning 
Event Source:   CertSvc 
Event Category: None 
Event ID:       53 
Date:           08/14/2000 
Time:           05:13:00 
User:           N/A 
Computer:       <Root CA name> 
Description: 
Certificate Services denied request <request #> because Access is denied.
0x80070005 (WIN32: 5).  The request was for (Unknown Subject).  Additional
information: Denied by Policy Module

Si les listes de contr�le d'acc�s sont d�finies de sorte que l'utilisateur peut inscrire mais l'autorit� de certification n'a pas d'autorisations publier sur Active Directory de l'utilisateur, le message d'erreur suivant est g�n�r� dans le journal des �v�nements d'application autorit� de certification :

Event Type:     Error 
Event Source:   CertSvc 
Event Category: None 
Event ID:       46 
Date:           08/14/2000 
Time:           05:13:00 
User:           N/A 
Computer:       <Root CA name> 
Description: 
The "Enterprise and Stand-alone Exit Module" Exit Module "Notify" method
returned an error. Access is denied. The returned status code is
0x80070005 (5).  The Certification Authority was unable to publish the
certificate for Child\User to the Directory Service.  Access is denied.

(0x80070005)

Retour au d�but

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server

Retour au d�but

kbmt kbcertservices kbprb KB281271 KbMtfr

Retour au d�but

Traduction automatique

IMPORTANT : Cet article est issu du syst�me de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis � votre disposition en compl�ment des articles traduits en langue fran�aise par des traducteurs professionnels. Cela vous permet d?avoir acc�s, dans votre propre langue, � l?ensemble des articles de la base de connaissances r�dig�s originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne �trang�re s?exprimant dans votre langue !). N�anmoins, mis � part ces imperfections, ces articles devraient suffire � vous orienter et � vous aider � r�soudre votre probl�me. Microsoft s?efforce aussi continuellement de faire �voluer son syst�me de traduction automatique.

La version anglaise de cet article est la suivante: 281271� (http://support.microsoft.com/kb/281271/en-us/ )

Retour au d�but

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

This site in other countries/regions:

Configuration d'autorit� de certification � publier des certificats dans Active Directory du domaine approuv�

Sommaire

Sympt�mes

Cause

Sc�nario 1: Hi�rarchie du domaine au niveau deux

Sc�nario 2 : Domaine de niveau unique ou le domaine parent

R�solution

Sc�nario 1: Hi�rarchie du domaine au niveau deux

Pour permettre les utilisateurs de domaine enfant d'obtenir des certificats et la publication vers Active Directory

Sc�nario 2 : Domaine de niveau unique ou le domaine parent

Statut

Plus d'informations

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Mots-cl�s :�

Autres sites d'aide

Communaut�s

Obtenir de l'aide

Traductions disponibles

Centres de solutions associ�s