要受信任網域的 Active Directory 中發佈憑證的憑證授權單位組態

文章翻譯 文章翻譯
文章編號: 281271 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

在下列情況中如果某位使用者與憑證授權單位 (CA) 相同的網域要求一個憑證所發出的憑證已發行在 Active Directory 中。不過,如果使用者是來自子網域,此處理程序不會成功。 而且時與 CA 相同的網域的使用者要求憑證,, 發行的憑證可能不會發行在 Active Directory 中之中。

案例 1
在這種情況下 CA 並不發佈已發行的憑證到子網域中使用者的 DS 物件當下列情況成立時:
  • 使用者是在兩個層級網域階層中與父代和子網域。
  • 企業 CA 位於父系網域,並且使用者是子網域中。
  • 子網域中使用者註冊父系 CA 中。
在兩個層級網域階層中與父代和子網域,企業 CA 位於父] 網域中,而且使用者是在子網域。子網域中的使用者註冊在父系 CA,和 CA 發行至子網域中使用者的 DS 物件已發行的憑證。

案例 2
考慮下列案例:
  • 使用者是在單一層級網域或父系網域。
  • 企業 CA 位於父系網域。
  • 網域控制站沒有 Hotfix 327825 安裝或 Windows 2000 服務套件 4 (SP4) 安裝。
  • 使用者在單一層級或父網域、 enrolls 單一層級憑證授權單位或父系憑證授權單位中。
在這種情況下憑證授權單位不會不發佈已發行的憑證到使用者的網域伺服器物件在單一層級網域或父網域中。

發生的原因

案例 1: 兩層級網域階層

來自子網域的使用者沒有適當的權限來註冊。這樣做時,即使 CA 沒有存取權限,將憑證發佈到 Active Directory。

預設情況下,只來自相同網域的網域使用者只要 CA 有註冊權限。

根據預設值,CA 會有下列必要的權限授予其網域內的使用者:
  • 讀取 userCertificate
  • 撰寫 userCertificate
CA 在父網域中的沒有子網域中使用者的 userCertificate 屬性的權限。

案例 2: 單一層級網域或父系網域

在 Windows 2000 預設 AdminSDHolder 物件並不授予憑證發行者群組會涵蓋 AdminSDHolder 處理序之下的使用者帳戶所需的權限。下列清單包含受保護的使用者帳戶群組在 Windows 2000 中:
  • 企業系統管理員
  • 結構描述系統管理員
  • 網域系統管理員
  • 系統管理員
套用 「 Microsoft 知識庫 」 文件中 327825 或之後安裝 Windows 2000 SP4 所描述的 Hotfix 之後,下列清單現在是 Windows Server 2003 中和在 Windows 2000 群組的使用者帳戶的保護使用者帳戶群組:
  • 系統管理員
  • 帳戶操作員
  • 伺服器操作員
  • 列印操作員
  • 備份操作員
  • 網域系統管理員
  • 結構描述系統管理員
  • 企業系統管理員
  • 憑證發行者

解決方案

案例 1: 兩層級網域階層

如果要讓子網域使用者取得憑證,並將其發佈到 Active Directory,請依照下列步驟執行:
  1. 若要允許註冊要求的 CA 的範本上設定權限。設定使用者物件權限,以允許將憑證發佈 CA。改變 AdminSDHolder 發送到系統管理員的使用者的使用者物件權限。
  2. 設定使用者物件權限,以允許將憑證發佈 CA。改變 AdminSDHolder 發送到系統管理員的使用者的使用者物件權限。
  3. 改變 AdminSDHolder 發送到系統管理員的使用者的使用者物件權限。
附註您必須先安裝支援工具從 Windows 專業版或 Windows Server 光碟片。

若要讓子網域使用者取得憑證,並將其發行到 Active Directory

  1. 若要允許子網域中的使用者要求憑證 CA 上設定權限。預設情況下,這應該是中的位置。
    1. 開啟憑證授權單位嵌入式管理單元,在 CA 上按一下滑鼠右鍵,然後再按一下 [內容]
    2. 在 [安全性] 索引標籤上確認 已驗證的使用者] 群組已允許來要求憑證]。
  2. 在適用的憑證範本,以允許子網域中註冊的使用者上設定權限。

    附註您必須登根網域具有網域系統管理員權限。
    1. 開啟 [Active Directory 站台及服務] 嵌入式管理單元。
    2. 按一下 [檢視,然後按一下 [顯示服務節點]。
    3. 展開 [服務節點] 資料夾,展開 [公用的主要服務,然後再按一下 [憑證範本
    4. 在 [詳細資料] 窗格中選取您想要的範本。比方說用滑鼠右鍵按一下 [使用者憑證] 範本,然後按一下 [內容]
    5. 在 [安全性] 索引標籤上授予註冊這類的 已驗證的使用者 想要群組的權限。
  3. 設定 CA 結束模組,將憑證發佈到 Active Directory。
    1. 在 [憑證授權單位] 嵌入式管理單元,[CA] 上按一下滑鼠右鍵,然後按一下 [內容]。
    2. 在 [結束模組] 索引標籤上按一下 [設定]。
    3. 在內容的結束模組,按一下以選取 [允許憑證在 Active Directory 中發佈] 方塊。
    子網域控制站上:

    附註在 Windows 2000 網域和已從 Windows 2000 升級的 Windows Server 2003 網域,憑證發行者群組會為網域通用群組。您必須手動加入憑證發行者] 群組,到每一個子網域。

    Windows Server 2003 網域

    您可以讓取得憑證,並讓它們在升級後的 Windows Server 2003 網域中發佈時,子網域使用者。若要執行這項操作、 將群組類型變更為 [網域區域,並包含 CA 伺服器從父系網域。這個程序會建立剛安裝的 Windows Server 2003 網域中存在相同的設定。使用者介面 (UI) 不會讓您變更群組類型。但是,您可以使用 dsmod 命令從網域通用群組變更憑證發行者] 群組,為網域區域群組。若要執行此動作使用下列語法:
    dsmod 群組 Group Distinguished Name 範圍 l
    附註在某些情況下您無法直接從全域變更 groupType 為網域本機群組。在這種情況下您必須將通用群組變更為萬用群組,並將萬用群組變更為網域本機群組。要這麼做,請您執行下列步驟:
    1. 輸入下列命令並按下 ENTER:
      dsmod 群組 Group Distinguished Name-u 範圍
      這個命令會將通用群組變成萬用群組。
    2. 輸入下列命令並按下 ENTER:
      dsmod 群組 Group Distinguished Name 範圍 l
      這個命令會將萬用群組變成網域本機群組。
    Windows 2000 網域

    您可以使用委派精靈 」 來手動新增根網域憑證發行者群組至子網域中的每個使用者] 物件。要這麼做,請您執行下列步驟:
    1. 開啟 [Active Directory 使用者及電腦 嵌入式管理單元,然後以滑鼠右鍵按一下 [網域] 節點。
    2. 按一下 [委派控制]。[委派] 精靈隨即啟動。在精靈中請依照下列步驟執行:
      1. 按一下 [下一步]、 按一下 [新增],然後再新增 [從父網域的 [憑證發行者] 群組。
      2. 按一下 [下一步],按一下 [建立自訂的任務委派,然後再按一下 [下一步]
      3. 選取 [僅下列物件在資料夾] 核取方塊。
      4. 按一下 使用者物件,然後再按一下 [下一步]
      5. 按一下 特定屬性的 按一下 [讀取 userCertificate,然後再按一下 [寫入 userCertificate
      6. 按一下 [下一步],然後再按一下 [已經完成
  4. 開啟 [Active Directory 使用者和電腦] 嵌入式管理單元,並在 [網域] 節點上按一下滑鼠右鍵。
  5. 按一下 [委派控制,此時 [委派] 精靈隨即啟動。在精靈中:
    1. 按一下 [下一步]、 按一下 [新增],然後再新增 [從父網域的 [憑證發行者] 群組。按一下 [下一步]。
    2. 選取 [建立自訂的任務委派] 選項,然後按一下 [下一步]。
    3. 選取 僅下列物件在資料夾中
    4. 選取 [使用者物件] 選項,然後按一下 [下一步]。
    5. 選取 屬性的特定 選項。
    6. 選取 [讀取 userCertificate] 選項。
    7. 選取 [全 userCertificate] 選項。
    8. 按一下 [下一步],然後再按一下 [已經完成
  6. 子網域控制站上在命令提示字元執行下列兩個命令,保留引號:
    dsacls"cn = adminsdholder cn = 系統,dc = your domain,dc = com"/ G < CA's domain \Cert 發行者: WP ; userCertificate"
    dsacls"cn = adminsdholder cn = 系統,dc = your domain,dc = com"/ G < CA's domain \Cert 發行者: RP ; userCertificate"
    在這種情況下 dc = your domain,dc = com 是您的子網域的可辨別的名稱 (DN) 以及 CA's Domain 所處網域名稱 CA 所在位置。
  7. 附註Windows Server 2003 SP1 提供一個新的安全性群組 CERTSVC_DCOM_ACCESS。使用者或要求從父系或子網域的電腦必須要能夠取得此憑證此群組的成員。

    CA] 伺服器上在命令提示字元執行下列三個命令:
    certutil-setreg SetupStatus-SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    如 CERTSVC_DCOM_ACCESS 安全性群組的更多有關,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    927066當用戶端電腦要求憑證以 Service Pack 1 執行 Windows Server 2003 的電腦時,出現錯誤訊息: 「 因為一或多個下列情況成立,所以無法啟動精靈 」
    如更多有關如何將使用者與伺服器加入到 CERTSVC_DCOM_ACCESS 安全性群組的跨樹系環境中,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    961298自動註冊無法交互樹系環境中運作

案例 2: 單一層級網域或父系網域

單一層級網域控制站上或在命令提示字元在父網域控制站上執行下列兩個命令,保留引號:
dsacls 「 cn = adminsdholder cn = 系統 dc=<your domain>,dc=<com>"/ G"<CA's domain> \Cert 發行者: WP ; userCertificate"
dsacls 「 cn = adminsdholder cn = 系統 dc=<your domain>,dc=<com>"/ G"<CA's domain> \Cert 發行者: RP ; userCertificate"
其中 dc = your domain,dc = com 是您的子網域的可辨別的名稱 (DN) 以及 CA's Domain 所處網域名稱 CA 所在位置。

狀況說明

Microsoft 已確認這是在 Windows 2000 Server 和 Windows Server 2003 中的問題。

其他相關資訊

當在註冊未成功從子網域的使用者時,下列的錯誤會產生 CA 應用程式事件日誌中:
Event Type:     Warning 
Event Source:   CertSvc 
Event Category: None 
Event ID:       53 
Date:           08/14/2000 
Time:           05:13:00 
User:           N/A 
Computer:       <Root CA name> 
Description: 
Certificate Services denied request <request #> because Access is denied.
0x80070005 (WIN32: 5).  The request was for (Unknown Subject).  Additional
information: Denied by Policy Module
					
如果 [ACL 設定,以便可以註冊的使用者,但在 CA 沒有發佈到使用者的 Active Directory 的權限,下列的錯誤會產生 CA 應用程式事件日誌中:
Event Type:     Error 
Event Source:   CertSvc 
Event Category: None 
Event ID:       46 
Date:           08/14/2000 
Time:           05:13:00 
User:           N/A 
Computer:       <Root CA name> 
Description: 
The "Enterprise and Stand-alone Exit Module" Exit Module "Notify" method
returned an error. Access is denied. The returned status code is
0x80070005 (5).  The Certification Authority was unable to publish the
certificate for Child\User to the Directory Service.  Access is denied.

(0x80070005)

屬性

文章編號: 281271 - 上次校閱: 2009年2月25日 - 版次: 8.0
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
關鍵字:?
kbmt kbcertservices kbprb KB281271 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:281271
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com