Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Nos seguintes cenários, se um utilizador do mesmo domínio como uma autoridade de certificação (AC) pedir um certificado, o certificado emitido é publicado no Active Directory. No entanto, se o utilizador pertencer a um domínio subordinado, este processo não tem êxito. Além disso, quando os utilizadores do mesmo domínio como uma AC pedir um certificado, o certificado emitido não pode ser publicado no Active Directory.
cenário 1 Neste cenário, a AC não publica certificados emitidos para objecto de DS do utilizador no domínio subordinado quando as seguintes condições são verdadeiras:
O utilizador está numa hierarquia de domínio de nível dois com um principal e um domínio subordinado.
A AC empresarial está localizada no domínio principal e o utilizador está num domínio subordinado.
O utilizador no domínio subordinado inscrever na AC principal.
Numa hierarquia de domínio de nível dois com um principal e um domínio subordinado, a AC empresarial encontra-se no domínio principal e os utilizadores estão no domínio subordinado. Inscrever utilizadores no domínio subordinado na AC, o principal e a AC publica certificados emitidos para objecto de DS do utilizador no domínio subordinado.
cenário 2 Considere o seguinte cenário:
O utilizador está num domínio de nível único ou um domínio principal.
A AC empresarial está localizada no domínio principal.
Os controladores de domínio não tem a correcção 327825 instalado ou o Windows 2000 Service Pack 4 (SP4) instalado.
O utilizador, no nível único ou principal de domínio, se a autoridade de certificação um nível ou a autoridade de certificação principal.
Neste cenário, a autoridade de certificação não publica certificados emitidos ao objecto de servidor de domínio do utilizador no domínio um nível ou no domínio principal.
Os utilizadores de domínio subordinado não tem permissões adequadas para inscrever. Mesmo quando o fazem, a AC não tem as permissões de acesso para publicar o certificado no Active Directory.
Por predefinição, apenas os utilizadores de domínio do mesmo domínio que tenha da AC inscrever permissões.
Por predefinição, a AC tem as seguintes permissões necessárias concedidas a utilizadores dentro do respectivo domínio:
Ler userCertificate
Escrever userCertificate
A AC no domínio principal não tem permissões para a propriedade userCertificate de utilizadores no domínio subordinado.
Cenário 2: Domínio de nível único ou domínio principal
Por predefinição no Windows 2000, o objecto AdminSDHolder não lhe concede que os editores de certificados grupo as permissões necessárias para contas de utilizador que o processo de AdminSDHolder abrangidas. A lista seguinte contém grupos de conta de utilizador protegido no Windows 2000:
Admins da empresa
Admins de esquemas
Admins do domínio
Administradores
Depois de aplicar a correcção descrita no artigo de base de dados de conhecimento da Microsoft 327825 ou depois de instalar o Windows 2000 SP4, a lista seguinte de conta de utilizador grupos no Windows Server 2003 e no Windows 2000 estão agora protegidos por grupos de contas de utilizador:
Para permitir que os utilizadores de domínio subordinado obter certificados e mantê-las publicada no Active Directory, siga estes passos:
Defina as permissões no modelo da AC para permitir pedidos de inscrição. O utilizador defina permissões de objecto para permitir que a AC publicar o certificado. Altere AdminSDHolder para emitir as permissões de objecto de utilizador para os utilizadores que são administradores.
O utilizador defina permissões de objecto para permitir que a AC publicar o certificado. Altere AdminSDHolder para emitir as permissões de objecto de utilizador para os utilizadores que são administradores.
Altere AdminSDHolder para emitir as permissões de objecto de utilizador para os utilizadores que são administradores.
Nota Primeiro tem de instalar ferramentas de suporte do Windows Professional ou o CD-ROM do Windows Server.
Para permitir os utilizadores de domínio subordinado obter certificados e que publicada no Active Directory
Definir permissões na AC para permitir aos utilizadores no domínio subordinado pedir um certificado. por predefinição, este deve ser local.
Abrir o snap-in Autoridade de certificação, clique com o botão direito do rato a AC e, em seguida, clique em Propriedades .
No separador segurança , certifique-se de que o grupo Utilizadores autenticados tem permissão para pedir certificados.
Definir permissões em modelos de certificado aplicável para permitir aos utilizadores no domínio subordinado inscrever.
Nota Tem de ser sessão iniciada domínio de raiz com direitos de administrador de domínio.
Abra o snap-in Serviços e locais do Active Directory.
Clique em Ver e clique em Mostrar nó de serviços .
Expanda a pasta de nó de serviços, expanda Serviços de chave pública e, em seguida, clique em Modelos de certificado .
No painel de detalhes, seleccione o modelo pretendido ou modelos. Por exemplo, clique com o botão direito do rato o modelo de certificado de utilizador e, em seguida, clique em Propriedades .
No separador segurança , conceda inscrever permissões para o grupo pretendido, tal como Utilizadores autenticados .
Configure o módulo de saída AC para publicar certificados no Active Directory.
No snap-in Autoridade de certificação, clique com o botão direito do rato a AC e, em seguida, clique em Propriedades .
No separador ' Módulo de saída , clique em Configurar .
Nas propriedades do módulo de saída, clique para seleccionar a caixa de Permitir que os certificados sejam publicados no Active Directory .
no controlador de domínio subordinado:
Nota Em domínios do Windows 2000 e domínios do Windows Server 2003 que tenham sido actualizados a partir do Windows 2000, o grupo de editores de certificados é um grupo global do domínio. Tem de adicionar manualmente o grupo de editores de certificados para cada domínio subordinado.
domínios do Windows Server 2003
Pode activar os utilizadores de domínio subordinado para obter certificados e de modo a publicadas nos domínios do Windows Server 2003 actualizados. Para efectuar este procedimento, alterar o tipo de grupo para Domínio Local e incluir o servidor da AC do domínio principal. Este procedimento cria a mesma configuração que está presente num domínio Windows Server 2003 freshly instalado. A interface de utilizador (UI) não permite alterar o tipo de grupo. No entanto, pode utilizar o comando dsmod para alterar o grupo Editores de certificados de um grupo global do domínio a um grupo local de domínio. Para o fazer, utilize a seguinte sintaxe:
dsmod group Group Distinguished Name - âmbito l
Nota Em alguns casos, não pode alterar groupType directamente a partir do global ao grupo local de domínio. Neste caso, terá de alterar o grupo global para um grupo universal e alterar o grupo universal para um grupo local de domínio. Para o fazer, siga estes passos:
Escreva o seguinte comando e, em seguida, prima ENTER:
dsmod group Group Distinguished Name - âmbito u
Este comando altera o grupo global num grupo universal.
Escreva o seguinte comando e, em seguida, prima ENTER:
dsmod group Group Distinguished Name - âmbito l
Este comando altera o grupo universal a um grupo local de domínio.
domínios do Windows 2000
Pode utilizar o Assistente de delegação para manualmente adicionar certificado Publisher grupo o domínio raiz a cada objecto de utilizador no domínio subordinado. Para o fazer, siga estes passos:
Abra o snap-in computadores e utilizadores do Active Directory e, em seguida, clique com o botão direito do rato no nó de domínio.
Clique em Delegar controlo . O Assistente de delegação é iniciado. No Assistente siga estes passos:
Clique em seguinte , clique em Adicionar e, em seguida, adicione o grupo Editores de certificados do domínio principal.
Clique em seguinte , clique em criar uma tarefa personalizada para delegar e, em seguida, clique em seguinte .
Seleccione a caixa de verificação apenas os seguintes objectos na pasta .
Clique em objectos de utilizador e, em seguida, clique em seguinte .
Clique em propriedades específicas , clique em Ler userCertificate e, em seguida, clique em Escrever userCertificate .
Clique em seguinte e, em seguida, clique em concluído .
Abra o snap-in computadores e utilizadores do Active Directory e, clique com o botão direito do rato no nó de domínio.
Clique em Delegar controlo , altura em que o Assistente de delegação é iniciado. No assistente:
Clique em seguinte , clique em Adicionar e, em seguida, adicione o grupo Editores de certificados do domínio principal. Clique em seguinte .
Seleccione a opção criar uma tarefa personalizada para delegar e, em seguida, clique em seguinte .
Seleccione apenas os seguintes objectos na pasta .
Seleccione a opção de objectos de utilizador e, em seguida, clique em seguinte .
Seleccione a opção propriedades específicas .
Seleccione a opção Ler userCertificate .
Seleccione a opção Escrever userCertificate .
Clique em seguinte e, em seguida, clique em concluído .
No controlador de domínio subordinado, numa linha de comandos, execute os seguintes dois comandos manter as aspas:
dsacls "cn = adminsdholder, cn = system, dc = your domain, dc = com"/G"CA's domain \Cert fabricantes: WP; userCertificate"
dsacls "cn = adminsdholder, cn = system, dc = your domain, dc = com"/G"CA's domain \Cert fabricantes: RP; userCertificate"
Neste caso, dc = your domain, dc = com é o nome distinto (DN, Distinguished Name) do domínio subordinado, e em que CA's Domain é o nome de domínio onde está localizada a AC.
Nota Windows Server 2003 SP1 fornece um novo grupo de segurança, CERTSVC_DCOM_ACCESS. O utilizador ou computador que efectuam o pedido do domínio principal ou subordinado tem de ser membro deste grupo para conseguir obter este certificado.
No servidor de AC, numa linha de comandos, execute os seguintes três comandos:
Para obter mais informações sobre o grupo de segurança CERTSVC_DCOM_ACCESS, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
927066
(http://support.microsoft.com/kb/927066/
)
Mensagem de erro quando um computador cliente pede um certificado a partir de um computador com o Windows Server 2003 com Service Pack 1: "não será iniciado o assistente devido a um ou mais das seguintes condições"
Para obter mais informações sobre como adicionar utilizadores e servidores num ambiente de floresta cruzada para o grupo de segurança CERTSVC_DCOM_ACCESS, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
961298
(http://support.microsoft.com/kb/961298/
)
Inscrição automática não funciona no ambiente de floresta entre
Cenário 2: Domínio de nível único ou domínio principal
No controlador de domínio de nível ou num controlador de domínio principal, numa linha de comandos, execute os seguintes dois comandos, manter as aspas:
Onde dc = your domain, dc = com é o nome distinto (DN, Distinguished Name) do domínio subordinado, e em que CA's Domain é o nome de domínio onde está localizada a AC.
Quando um utilizador de um domínio subordinado não tiver êxito na inscrição, é gerado o seguinte erro no registo de eventos de aplicações de AC:
Event Type: Warning
Event Source: CertSvc
Event Category: None
Event ID: 53
Date: 08/14/2000
Time: 05:13:00
User: N/A
Computer: <Root CA name>
Description:
Certificate Services denied request <request #> because Access is denied.
0x80070005 (WIN32: 5). The request was for (Unknown Subject). Additional
information: Denied by Policy Module
Se as ACL estiverem definidas para que o utilizador pode inscrever-se, mas a AC não tem permissões para publicar do utilizador Active Directory, é gerado ao seguinte erro no registo de eventos de aplicações de AC:
Event Type: Error
Event Source: CertSvc
Event Category: None
Event ID: 46
Date: 08/14/2000
Time: 05:13:00
User: N/A
Computer: <Root CA name>
Description:
The "Enterprise and Stand-alone Exit Module" Exit Module "Notify" method
returned an error. Access is denied. The returned status code is
0x80070005 (5). The Certification Authority was unable to publish the
certificate for Child\User to the Directory Service. Access is denied.
(0x80070005)
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 281271
(http://support.microsoft.com/kb/281271/en-us/
)
Qual foi o esforço que despendeu pessoalmente para utilizar este artigo?
Muito baixo
Baixo
Moderado
Elevado
Muito elevado
Diga-nos porquê e o que podemos fazer para melhorar estas informações
Obrigado! Os seus comentários são utilizados para ajudar-nos a melhorar o conteúdo do nosso suporte. Para obter mais opções de assistência, visite a Home Page de Ajuda e Suporte.
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Tradução automática
Voltar ao topo
