Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Nas seguintes situações, se um usuário do mesmo domínio como uma autoridade de certificação (CA) solicita um certificado, o certificado emitido será publicado no Active Directory. No entanto, se o usuário for de um domínio filho, esse processo não é bem-sucedido. Além disso, quando os usuários do mesmo domínio como uma autoridade de certificação solicitarem um certificado, o certificado emitido não pode ser publicado no Active Directory.
cenário 1 Nesse cenário, a autoridade de certificação não publica certificados emitidos para objeto de DS do usuário no domínio filho quando as seguintes condições forem verdadeiras:
O usuário é uma hierarquia de domínio de nível dois com um pai e um domínio filho.
A CA corporativa está localizada no domínio pai e o usuário está no domínio filho.
O usuário no domínio filho registrar-se na autoridade de certificação pai.
Em uma hierarquia domínio de nível dois com um pai e um domínio filho, CA corporativa está localizada no domínio pai e os usuários estão no domínio filho. Registrar usuários no domínio filho na autoridade de certificação, pai e a autoridade de certificação publica certificados emitidos para objeto de DS do usuário no domínio filho.
cenário 2 Considere o seguinte cenário:
O usuário está em um domínio de nível único ou um domínio pai.
A CA corporativa está localizada no domínio pai.
Os controladores de domínio não tem hotfix 327825 instalado ou o Windows 2000 Service Pack 4 (SP4) instalado.
O usuário, no nível único ou domínio pai, registra a autoridade de certificação de nível único ou a autoridade de certificação pai.
Nesse cenário, a autoridade de certificação não publicará os certificados emitidos ao objeto de servidor de domínio do usuário no domínio de nível único ou no domínio pai.
Os usuários do domínio filho não tem permissões adequadas para se registrar. Mesmo quando isso acontecer, a autoridade de certificação não tem as permissões de acesso para publicar o certificado no Active Directory.
Por padrão, somente usuários de domínio do mesmo domínio que a autoridade de certificação tenha permissões de registro.
Por padrão, a autoridade de certificação tem as seguintes permissões necessárias concedidas a usuários em seu domínio:
Ler userCertificate
Gravar userCertificate
A autoridade de certificação no domínio pai não tem permissões para a propriedade userCertificate sobre os usuários no domínio filho.
Por padrão no Windows 2000, o objeto AdminSDHolder não concede que as permissões necessárias para contas de usuário que são abordadas em processo AdminSDHolder de grupo Editores de certificados. A lista a seguir contém grupos de conta de usuários protegidos do Windows 2000:
Administração de empresa
Administradores de esquema
Administradores de domínio
Administradores
Depois de aplicar o hotfix descrito no artigo da Base de dados de Conhecimento da Microsoft 327825 ou após a instalação do Windows 2000 SP4, a lista a seguir da conta de usuário grupos no Windows Server 2003 e no Windows 2000 são agora protegidos grupos de conta de usuário:
Para permitir que os usuários de domínio filho obter certificados e as publicada no Active Directory, execute estas etapas:
Defina as permissões no modelo da autoridade de certificação para permitir solicitações de inscrição. Defina permissões de objeto para permitir que a CA para publicar o certificado de usuário. Altere AdminSDHolder para empurrar as permissões de objeto de usuário para usuários que são administradores.
Defina permissões de objeto para permitir que a CA para publicar o certificado de usuário. Altere AdminSDHolder para empurrar as permissões de objeto de usuário para usuários que são administradores.
Altere AdminSDHolder para empurrar as permissões de objeto de usuário para usuários que são administradores.
Observação Você deve primeiro instalar ferramentas de suporte do Windows Professional ou o CD-ROM do Windows Server.
Para permitir que os usuários de domínio filho obter certificados e as publicada no Active Directory
Definir permissões na autoridade de certificação para permitir que usuários no domínio filho solicitar um certificado. por padrão, isso deve estar no local.
Abra o snap-in da autoridade de certificação, clique a autoridade de certificação com o botão direito do mouse e, em seguida, clique em Propriedades .
Na guia segurança , certifique-se de que o grupo Usuários autenticados é permitido para solicitar certificados.
Definir permissões em modelos de certificado aplicável para permitir que usuários no domínio filho registrar.
Observação Você deve fazer logon para o domínio raiz com direitos de administrador de domínio.
Abra o snap-in Serviços e sites do Active Directory.
Clique em Exibir e, em seguida, clique em Mostrar nó de serviços .
Expanda a pasta de nó de serviços, expanda Serviços de chave pública e, em seguida, clique em Modelos de certificado .
No painel de detalhes, selecione o modelo desejado ou modelos. Por exemplo, clique o modelo de certificado de usuário com o botão direito do mouse e, em seguida, clique em Propriedades .
Na guia segurança , conceder permissões para o grupo desejado, como Usuários autenticados de registro.
Configure o módulo de saída CA para publicar certificados no Active Directory.
No snap-in autoridade de certificação, clique a autoridade de certificação com o botão direito do mouse e, em seguida, clique em Propriedades .
Na guia Módulo de saída , clique em Configurar .
Nas propriedades para o módulo de saída, clique em para selecionar a caixa Permitir que certificados sejam publicados no Active Directory .
no controlador de domínio filho:
Observação Em domínios do Windows 2000 e em domínios do Windows Server 2003 que tenham sido atualizados do Windows 2000, o grupo Editores de certificados é um grupo global de domínio. Você deve adicionar manualmente o grupo Editores de certificados para cada domínio filho.
domínios do Windows Server 2003
Você pode habilitar os usuários de domínio filho para obter certificados e que eles publicado em domínios do Windows Server 2003 atualizados. Para fazer isso, altere o tipo de grupo para Domínio Local e inclua o servidor da CA do domínio pai. Esse procedimento cria a mesma configuração que está presente em um domínio Windows Server 2003 recém-instalado. A interface de usuário (UI) não permite que você altere o tipo de grupo. No entanto, você pode usar o comando dsmod para alterar o grupo Editores de certificados de um grupo global de domínio para um grupo de domínio local. Para fazer isso, use a seguinte sintaxe:
dsmod group Group Distinguished Name - escopo l
Observação Em alguns casos, você não pode alterar groupType diretamente de global para grupo de domínio local. Nesse caso, você precisará alterar o grupo global em um grupo universal e alterar o grupo universal em um grupo local de domínio. Para fazer isso, execute as seguintes etapas:
Digite o seguinte comando e pressione ENTER:
dsmod group Group Distinguished Name - escopo u
Esse comando altera o grupo global em um grupo universal.
Digite o seguinte comando e pressione ENTER:
dsmod group Group Distinguished Name - escopo l
Esse comando altera o grupo universal em um grupo de domínio local.
domínios do Windows 2000
Você pode usar o Assistente para delegação para adicionar manualmente o grupo de editor de certificado do domínio raiz a cada objeto de usuário no domínio filho. Para fazer isso, execute as seguintes etapas:
Abra o snap-in Active Directory Users and Computers e, em seguida, clique com o botão direito do mouse o nó de domínio.
Clique em delegar controle . O Assistente de delegação é iniciado. No assistente execute estas etapas:
Clique em Avançar , clique em Adicionar e, em seguida, adicione o grupo Editores de certificados do domínio pai.
Clique em Avançar , clique em criar uma tarefa personalizada para delegar e, em seguida, clique em Avançar .
Marque a caixa de seleção somente os seguintes objetos na pasta .
Clique em objetos de usuário e em seguida, clique em Avançar .
Clique em Propriedades específicas , clique em Ler userCertificate e, em seguida, clique em Gravar userCertificate .
Clique em Avançar e, em seguida, clique em concluído .
Abra o snap-in Active Directory Users and Computers e clique com o botão direito do mouse no nó do domínio.
Clique em Delegar controle , em que ponto o Assistente de delegação é iniciado. No Assistente:
Clique em Avançar , clique em Adicionar e, em seguida, adicione o grupo Editores de certificados do domínio pai. Clique em Avançar .
Selecione a opção criar uma tarefa personalizada para delegar e, em seguida, clique em Avançar .
Selecione somente os seguintes objetos na pasta .
Selecione a opção objetos de usuário e, em seguida, clique em Avançar .
Selecione a opção específico da propriedade .
Selecione a opção Ler userCertificate .
Selecione a opção Gravar userCertificate .
Clique em Avançar e, em seguida, clique em concluído .
No controlador de domínio filho, em um prompt de comando, execute os seguintes dois comandos, mantendo as aspas:
dsacls "cn = adminsdholder, cn = system, dc = your domain, dc = com"/G"CA's domain \Cert editores: WP; userCertificate"
dsacls "cn = adminsdholder, cn = system, dc = your domain, dc = com"/G"CA's domain \Cert editores: RP; userCertificate"
Nesse caso, dc = your domain, dc = com é o nome distinto (DN) do seu domínio filho, e onde CA's Domain é o nome do domínio onde está localizada a autoridade de certificação.
Observação Windows Server 2003 SP1 fornece um novo grupo de segurança, CERTSVC_DCOM_ACCESS. O usuário ou computador solicitante do domínio pai ou filho deve ser um membro desse grupo para poder obter esse certificado.
No servidor da CA, em um prompt de comando, execute os seguintes três comandos:
Para obter mais informações sobre o grupo de segurança CERTSVC_DCOM_ACCESS, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
927066
(http://support.microsoft.com/kb/927066/
)
Mensagem de erro quando um computador cliente solicita um certificado de um computador que está executando o Windows Server 2003 com Service Pack 1: "O assistente não pode ser iniciado devido a um ou mais das seguintes condições"
Para obter mais informações sobre como adicionar usuários e servidores em um ambiente floresta cruzada para o grupo de segurança CERTSVC_DCOM_ACCESS, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
961298
(http://support.microsoft.com/kb/961298/
)
Inscrição automática não funciona no ambiente de floresta entre
No controlador de domínio de nível único ou no controlador de domínio pai, em um prompt de comando, execute os dois comandos a seguir, mantendo as aspas:
Onde dc = your domain, dc = com é o nome distinto (DN) do seu domínio filho, e onde CA's Domain é o nome do domínio onde está localizada a autoridade de certificação.
Quando um usuário de um domínio filho não tiver êxito em registrar, o seguinte erro é gerado no log de eventos do aplicativo CA:
Event Type: Warning
Event Source: CertSvc
Event Category: None
Event ID: 53
Date: 08/14/2000
Time: 05:13:00
User: N/A
Computer: <Root CA name>
Description:
Certificate Services denied request <request #> because Access is denied.
0x80070005 (WIN32: 5). The request was for (Unknown Subject). Additional
information: Denied by Policy Module
Se as ACLs são configuradas para que o usuário pode se inscrever, mas a autoridade de certificação não tem permissões para publicar no Active Directory do usuário, o seguinte erro é gerado no log de eventos do aplicativo CA:
Event Type: Error
Event Source: CertSvc
Event Category: None
Event ID: 46
Date: 08/14/2000
Time: 05:13:00
User: N/A
Computer: <Root CA name>
Description:
The "Enterprise and Stand-alone Exit Module" Exit Module "Notify" method
returned an error. Access is denied. The returned status code is
0x80070005 (5). The Certification Authority was unable to publish the
certificate for Child\User to the Directory Service. Access is denied.
(0x80070005)
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 281271
(http://support.microsoft.com/kb/281271/en-us/
)
Quanto esforço foi necessário para seguir os procedimentos deste artigo?
Muito baixo
Baixo
Moderado
Alto
Muito alto
O que podemos fazer para melhorar essa informação?
Para proteger sua privacidade, não inclua informações de contato em seus comentários.
Obrigado! Seus comentários são usados para nos ajudar a aperfeiçoar o conteúdo de suporte. Para obter mais opções de ajuda, visite a Home Page de Ajuda e Suporte.
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Tradução automática
Voltar para o início
