Aşağıdaki senaryolarda, bir sertifika yetkilisi (CA) olarak aynı etki alanındaki bir kullanıcı bir sertifika isterse, verilen sertifikayı Active Directory'de yayımlanır. Kullanıcı bir alt etki alanındansa, ancak bu işlem başarısız olur. Bir CA ile aynı etki alanında kullanıcıların bir sertifika istemek Ayrıca, verilen sertifika Active Directory'de yayımlanmayan.
Senaryo 1 Aşağıdaki koşullar geçerli olduğunda bu senaryoda, CA'YA verilen sertifikaları alt etki alanındaki kullanıcının DS nesnesi için yayımlamaz:
Üst ve alt etki alanı ile bir iki düzeyli etki alanı hiyerarşisinde kullanıcıdır.
Üst etki alanında bulunan bir kuruluş CA'sı ve alt etki alanındaki kullanıcıdır.
Alt etki alanındaki kullanıcı, üst CA kayıt.
Bir iki düzeyli etki alanı hiyerarşisiyle üst ve alt etki alanı, üst etki alanında bulunan bir kuruluş CA'sı ve alt etki alanındaki kullanıcıları olan. Üst CA ' NıN alt etki alanındaki kullanıcıların kaydolması ve alt etki alanındaki kullanıcının DS nesnesi CA'YA verilen sertifikaları yayımlar.
Senaryo 2 Şu senaryoyu inceleyin:
Tek düzeyli etki alanı veya ana etki alanı kullanıcıdır.
Kuruluş CA'sı, üst etki alanında yer alır.
Etki alanı denetleyicilerinin Windows 2000 Service Pack 4 (SP4) ya da düzeltme 327825 yetkiniz yok.
Kullanıcı ya da tek düzeyli veya etki alanı ana, bir tek düzeyli sertifika yetkilisine veya ana sertifika yetkilisi kaydolur.
Bu senaryoda, sertifika yetkilisinden verilen sertifikaların tek düzeyli etki alanında veya üst etki alanındaki kullanıcının etki alanında sunucu nesnesi için yayımlamaz.
Alt etki alanındaki kullanıcıların kaydolması için uygun izinlere sahip değilsiniz. Yaptıklarını bile, CA, sertifikayı Active Directory'ye yayımlamak için erişim izinlerine sahip değil.
Varsayılan olarak, yalnızca aynı etki alanındaki etki alanı kullanıcıları izinleri kayıt, CA'NıN var gibi.
Varsayılan olarak, CA, kendi etki alanındaki kullanıcılara verilen aşağıdaki gerekli yetkilere sahiptir:
UserCertificate okunamıyor.
UserCertificate yazma
CA üst etki alanında, alt etki alanındaki kullanıcılar üzerindeki izinleri userCertificate özelliğine sahip değil.
Senaryo 2: Tek düzey etki alanı veya ana etki alanı
Windows 2000'de varsayılan olarak, YöneticiSDSahibi nesnesi altında <a2>YöneticiSDSahibi</a2> işlemin kapsadığı kullanıcı hesapları için gerekli olan izinlere Sertifika Yayımcıları grubuna ver.. Aşağıdaki liste, Windows 2000'de korumalı bir kullanıcı hesabının gruplarını içerir:
Kuruluş Yöneticileri
Şema Yöneticileri
Etki Alanı Yöneticileri
Administrators
Microsoft Bilgi Bankası makalesi 327825 veya Windows 2000 SP4'ü yükledikten sonra açıklanan düzeltmeyi yükledikten sonra aşağıdaki listede Windows 2000 ve Windows Server 2003'te şimdi gruplarıdır kullanıcı hesabının kullanıcı hesap gruplarını korumalı:
Sertifikaları almak ve bunları Active Directory'de yayımlanmış olan alt etki alanı kullanıcıları'nı etkinleştirmek için şu adımları izleyin:
CA'ın şablonu kayıt istekleri izin izinler. Kullanıcı, CA sertifika yayımlamak izin vermek için nesne izinleri ayarlayın. Yöneticiler kullanıcılar için kullanıcı nesnesinin izinlerini göndermek için YöneticiSDSahibi değiştirebilirsiniz.
Kullanıcı, CA sertifika yayımlamak izin vermek için nesne izinleri ayarlayın. Yöneticiler kullanıcılar için kullanıcı nesnesinin izinlerini göndermek için YöneticiSDSahibi değiştirebilirsiniz.
Yöneticiler kullanıcılar için kullanıcı nesnesinin izinlerini göndermek için YöneticiSDSahibi değiştirebilirsiniz.
Not Önce Windows Professional veya Windows Server CD-ROM'u destek araçları yüklemeniz gerekir.
Alt etki alanı kullanıcıları, sertifikaları almak ve bunları etkinleştirmek için Active Directory'ye yayımladı.
Izinleri, CA'DAKI sertifika istemek alt etki alanındaki kullanıcılara izin verecek şekilde ayarlayın. Varsayılan olarak, bu olması gereken yerde.
Sertifika Yetkilisi ek bileşenini açın, CA'yı sağ tıklatın ve sonra da Properties ' i tıklatın.
Güvenlik sekmesinde, Authenticated Users grubu, sertifika istemek için izin verildiğinden emin olun.
Alt etki alanındaki kullanıcıların kaydolması izin vermek için uygun bir sertifika şablonlarında izinleri.
Not Kök etki alanının etki alanı yönetici haklarıyla oturum açmış olmalısınız.
Active Directory Siteleri ve Hizmetleri ek bileşenini açın.
Görünüm ' ü tıklatın ve sonra da Hizmetler düğümünü Göster'i tıklatın.
Hizmetler düğümünü klasörünü genişletin, Public Key Services'ı genişletin ve sonra Sertifika şablonları ' nı tıklatın.
Ayrıntılar bölmesinde, istediğiniz şablonu veya Şablonları'nı seçin. Örneğin, kullanıcı sertifika şablonunu sağ tıklatın ve sonra da Properties ' i tıklatın.
Güvenlik sekmesinde, istediğiniz grubu, Authenticated Users gibi izinleri verme kayıt.
Sertifikaları Active Directory'ye yayımlamak için CA çıkış modülünün yapılandırın.
Sertifika Yetkilisi ek bileşenini, CA'yı sağ tıklatın ve sonra da Properties ' i tıklatın.
Çıkış modülü</a0> sekmesinde Yapılandır ' ı tıklatın.
Sertifikaların Active Directory'de yayınlanmasına izin ver) kutusunu çıkış modülünün Özellikleri'ni tıklatın.
Alt etki alanı denetleyicisinde:
Not Windows 2000 etki alanlarında ve Windows 2000'den yükseltilmiş olan Windows Server 2003 etki alanlarında Sertifika Yayımcıları bir etki alanı genel grup grubudur. Her alt etki alanı için Sertifika Yayımcıları grubuna el ile eklemeniz gerekir.
Windows Server 2003 etki alanları
Sertifikaları almak ve bunları yükseltilen Windows Server 2003 etki alanlarında yayımlanmış olan alt etki alanı kullanıcıları etkinleştirebilirsiniz. Bunu yapmak için <a0></a0>, Grup türü, Etki alanı yerel için değiştirin ve CA sunucusunun üst etki alanı içerir. Bu yordam, freshly yüklenmiş bir Windows Server 2003 etki alanı varsa aynı yapılandırmayı oluşturur. Kullanıcı Arabirimi (UI) Grup türünü değiştirmenize izin vermez. Ancak, Sertifika Yayımcıları grubunun, etki alanı yerel grubuna bir etki alanı genel grubu değiştirmek için: dsmod komutu kullanabilirsiniz. Bunu yapmak için <a0></a0>, aşağıdaki sözdizimini kullanın:
dsmod group, Group Distinguished Name - l kapsam
Not Bazı durumlarda, groupType doğrudan genel etki alanı yerel grubu değiştiremezsiniz. Bu durumda, genel grubu bir evrensel grup olarak değiştirin ve bir etki alanı yerel grubu evrensel grup değiştirmeniz gerekir. Bunu yapmak için şu adımları izleyin:
Aşağıdaki komutu yazın ve ENTER tuşuna basın:
dsmod group, Group Distinguished Name - <a1>Kapsam</a1> u
Bu komut, genel grubu bir evrensel grup olarak değiştirir.
Aşağıdaki komutu yazın ve ENTER tuşuna basın:
dsmod group, Group Distinguished Name - l kapsam
Bu komut, bir etki alanı yerel grubu evrensel grup değiştirir.
Windows 2000 etki alanları
Kök etki alanının sertifika yayımcı grubu alt etki alanındaki her kullanıcı nesnesini el ile eklemek için temsilci seçme Sihirbazı'nı kullanabilirsiniz. Bunu yapmak için şu adımları izleyin:
Active Directory Kullanıcıları ve bilgisayarları ek bileşenini açın ve sonra da etki alanı düğümünü sağ tıklatın.
Denetim Temsilcisi Seç'i tıklatın. Temsilci Atama Sihirbazı'nı başlatır. Sihirbazda aşağıdaki adımları izleyin:
Ileri ' yi tıklatın, Ekle ' yi tıklatın ve sonra da üst etki alanındaki Sertifika Yayımcıları grubuna ekleyin.
Ileri ' yi tıklatın, <a1>Oluştur</a1> özel bir görev için temsilci seçmek için tıklatın ve sonra ileri ' yi tıklatın.
<a0>Yalnızca klasördeki şu nesneler</a0> onay kutusunu seçin.
Kullanıcı nesneleri tıklatın ve sonra ileri ' yi tıklatın.
Özellik özel ' i tıklatın, Okuma userCertificate ' ı tıklatın ve sonra da <a2>userCertificate Yaz</a2>'ı tıklatın.
Ileri ' yi tıklatın ve sonra da Tamamlandı ' ı tıklatın.
Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini açın ve etki alanı düğümünü sağ tıklatın.
Denetim Temsilcisi Seç, bu noktada, yetkili seçme sihirbazını başlatır, Ek Yardım düğmesini tıklatın. Sihirbazda:
Ileri ' yi tıklatın, Ekle ' yi tıklatın ve sonra da üst etki alanındaki Sertifika Yayımcıları grubuna ekleyin. Ileri ' yi tıklatın.
<a1>Oluştur</a1> özel bir görev için temsilci seçme seçeneğini seçin ve ileri ' yi tıklatın.
Yalnızca klasördeki şu nesneler seçin.
Kullanıcı nesneleri seçeneğini ve sonra ileri ' yi tıklatın.
Özel özellik</a1> seçeneğini belirleyin.
Okuma userCertificate seçeneğini belirleyin.
UserCertificate Yaz seçeneğini belirleyin.
Ileri ' yi tıklatın ve sonra da Tamamlandı ' ı tıklatın.
Alt etki alanı denetleyicisinde, tırnak işaretleri tutma aşağıdaki iki komutu bir komut isteminde çalıştırın:
dsacls "CN = adminsdholder, cn = sistemi = dc = your domain, dc = com"/G"CA's domain \Cert yayımcılar: WP; userCertificate"
dsacls "CN = adminsdholder, cn = sistemi = dc = your domain, dc = com"/G"CA's domain \Cert yayımcılar: RP; userCertificate"
Bu durumda, dc = your domain, dc = com ayırt edici adını (DN), alt etki alanıdır ve CA'NıN bulunduğu CA's Domain etki alanı adı olduğu yerdeki.
Not Windows Server 2003 SP1'in yeni bir güvenlik grubu CERTSVC_DCOM_ACCESS sağlar. Kullanıcı veya istekte bulunan bilgisayar üst veya alt etki alanında, bu sertifikayı edinmek için bu grubun üyesi olmalıdır.
Sertifika YETKILISI sunucusunda, komut isteminde, aşağıdaki üç komutları çalıştırın:
CERTSVC_DCOM_ACCESS güvenlik grubu hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
927066
(http://support.microsoft.com/kb/927066/
)
Bir istemci bilgisayar, Windows Server 2003 Service Pack 1 çalıştıran bir bilgisayardan sertifika istekleri, hata iletisi: "Sihirbaz, bir veya daha aşağıdaki koşullardan biri nedeniyle başlatılamıyor"
Çapraz orman ortamındaki CERTSVC_DCOM_ACCESS güvenlik grubuna kullanıcı ve sunucu ekleme hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
961298
(http://support.microsoft.com/kb/961298/
)
Otomatik kayıt çapraz orman ortamında çalışmıyor
Bir alt etki alanındaki bir kullanıcı olarak kaydolma başarısız olduğunda, aşağıdaki hata CA uygulama olay günlüğünde oluşturulur:
Event Type: Warning
Event Source: CertSvc
Event Category: None
Event ID: 53
Date: 08/14/2000
Time: 05:13:00
User: N/A
Computer: <Root CA name>
Description:
Certificate Services denied request <request #> because Access is denied.
0x80070005 (WIN32: 5). The request was for (Unknown Subject). Additional
information: Denied by Policy Module
Böylece, kullanıcı kayıt, ancak CA, kullanıcının Active Directory'ye yayımlamak için gerekli izinlere sahip olmaması ACL'leri ayarlanmışsa, aşağıdaki hata CA uygulama olay günlüğünde oluşturulur:
Event Type: Error
Event Source: CertSvc
Event Category: None
Event ID: 46
Date: 08/14/2000
Time: 05:13:00
User: N/A
Computer: <Root CA name>
Description:
The "Enterprise and Stand-alone Exit Module" Exit Module "Notify" method
returned an error. Access is denied. The returned status code is
0x80070005 (5). The Certification Authority was unable to publish the
certificate for Child\User to the Directory Service. Access is denied.
(0x80070005)
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:281271
(http://support.microsoft.com/kb/281271/en-us/
)
Bu makaleyi kullanmak için ne kadar kişisel çaba harcadınız?
Çok az
Az
Orta
Fazla
Çok fazla
Bu bilgiyi geliştirmemiz için nedenleri ve bu konuda neler yapabileceğimizi paylaşın
Teşekkürler! Görüşleriniz, destek içeriğimizi geliştirmemize yardımcı olmak için kullanılmaktadır. Diğer yardım seçenekleri için, lütfen Yardım ve Destek Giriş Sayfasını ziyaret edin.
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Otomatik Tercüme
Üste
