Âmbito Editores de certificados mudou de global para domínios locais no Windows Server 2003

Quando cria um novo domínio instalar o Windows Server 2003 como um primeiro DC, grupo ' Editores de certificados é criado como um grupo de domínios locais. No entanto, em domínios que foram criadas como domínios do Windows 2000 e posterior foi actualizado para o Windows 2003, grupo Editores de certificados é um grupo global.
Tenha em atenção o seguinte::
grupo Editores de certificados em domínios do Windows 2000, tem um âmbito global
em domínios que foram inicialmente instalados como um domínios do Windows 2000 (primeiro DC instalado para o domínio foi um DC Windows 2000) ou seja, e mais tarde actualizado para o Windows 2003, o âmbito do grupo não altera e permanece global
em domínios que tenham sido ininitally instalado como um domínios do Windows 2003 a (ou seja, primeiro DC instalado para o domínio foi um DC do Windows Server 2003), o âmbito do grupo é de domínios locais

Inicialmente, ao grupo ' Editores de certificados foi concebido como um grupo global. Howewer, este tipo de estrutura tem resultaram em vários aspectos apareça quando única autoridade de certificação (AC) é utilizada num ambiente de vários domínios. Estes problemas descritos nos artigos da Base de Dados de Conhecimento referenciados por baixo.

O comportamento ocorre por predefinição.

Editores de certificados é um grupo especial que é criado automaticamente quando um novo domínio do Active Directory está instalado. Este grupo é concedido permissão-lo no próprio domínio tthat há permitem os respectivos membros publicar certificados para objectos de utilizador no Active Directory. Quando é instalada uma autoridade de certificação (AC) no domínio, é automaticamente adicionado ao grupo Editores de certificados de nesse domínio.
No Windows 2000, grupo ' Editores de certificados foi criado como um grupo global. Este tipo de estrutura necessários alguns de configuração adicionais para permitir que os certificados ser publicada no ambiente de domínio fidedigno onde os utilizadores que pedem certificados e da AC que emite-los estão localizados em domínios diferentes. Grupo ' Editores de certificados só recebe permissões no respectivo domínio, quando um utilizador a partir de outro fidedigno domínio requisita um certificado, uma vez que a AC que está a emiti-lo não será capacidade para publicar esse certificado porque não é necessário permissioins para modificar propriedade adequada do objecto de utilizador de um domínio fidedigno. Esses cenários necessária uma configuração manual adicional descrita nos seguintes artigos KB:
 
   281271 2000 Configuração da autoridade de certificação para publicar certificados no Active Directory do domínio fidedigno do Windows
   219059 AC empresarial may not publicar certificados do domínio subordinado ou domínio fidedigno
   300532 O Windows 2000 não AC Enterprise adicionadas ao grupo Editores de certificados de domínio do Windows Server 2003

Grupo ' Editores de certificados no Windows 2003, é criado com âmbito local de domínio. Uma vez que objectos de outros domínios podem ser adicionados a um grupo com âmbito local de domínio, é já não necessária configuração adicional referida acima. Pode agora adicionar conta de computador da autoridade de certificação (AC) para o grupo Editores de certificados de qualquer domínio fidedigno, e que lhe dará a certificação permissões de autoridade para publicar certificados para utilizadores do domínio.