Configurações de permissão padrão para uma autoridade de certificação corporativa

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 239706
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Sumário
Uma autoridade de certificação corporativa (CA) fornece gerenciamento de certificados para usuários e computadores no Active Directory. A autoridade de certificação pode emitir e revogar certificados. Este artigo descreve informações básicas e as configurações de segurança necessárias para a configuração de uma CA corporativa.
Mais Informações
Depois de instalar uma CA corporativa, defina as seguintes permissões na pasta compartilhamentos e seguintes objetos do Active Directory:
  • Certlog: localizado na pasta Winnt\System32.
    • Administradores de domínio - controle total para esta pasta, subpastas e arquivos.
    • Administradores de empresas - controle total para esta pasta, subpastas e arquivos.
    • Sistema - controle total para esta pasta, subpastas e arquivos.

  • CertSrv: localizado na pasta Winnt\System32.
    • Usuários autenticados - leitura e execução para essa pasta, subpastas e arquivos.
    • Operadores do servidor - modificar para esta pasta, subpastas e arquivos.
    • Administradores de domínio - controle total para esta pasta, subpastas e arquivos.
    • Sistema - controle total para esta pasta, subpastas e arquivos.
    • / Proprietário criador - controle total para esta pasta, subpastas e arquivos.
    • Permitir permissões herdadas em todos os objetos filho e ativará a propagação de permissões herdáveis.

  • Compartilhada pasta (CertConfig compartilhamento) - nome e o local especificado pelo administrador.
    • Administradores de domínio - controle total, alterar e ler para permissões de compartilhamento.
    • Todos - leitura para as permissões de compartilhamento.
    • Administradores de domínio - controle total para esta pasta, subpastas e arquivos.
    • Sistema - controle total para esta pasta, subpastas e arquivos.
    • Enterprise Administrators-controle total para esta pasta, subpastas e arquivos.
    • Todos - leitura para esta pasta, subpastas e arquivos.
Definir permissões para objetos do Active Directory de acordo com as regras a seguir. Você pode definir permissões usando a guia segurança in Adsiedit.msc ou com o snap-in Serviços no recipiente de serviços e sites do Active Directory. Para exibir o recipiente de serviços, clique em Mostrar nó de serviços no menu Exibir no console de gerenciamento Microsoft (MMC).
  • Recipiente de modelos - localizado no controlador de domínio do certificado = domínio, CN = Configuration, CN = Services, CN = Public Key Services.
    • Usuários - permissão especial (Listar conteúdo da ler todas as propriedades, ler permissões) autenticados para este objeto somente.
    • Administradores de empresas - permissão especial (Listar conteúdo da ler todas as propriedades, gravar todas as propriedades, permissões de ler, modificar permissões, modificar proprietário, todas as gravações validadas, todos os Extended direitos, todos criar os objetos filho, criar (para todos os objetos)) para este objeto somente.
    • Sistema-controle total para este objeto somente.
    • Administradores de empresas - controle total para este objeto e todos os objetos filho.
    • Administradores de domínio - permissão especial (Listar conteúdo da ler todas as propriedades, permissões de leitura, gravação todas as propriedades, excluir, permissões Ler, modificar permissões, modificar proprietário, todas as gravações validadas, todos os Extended direitos, todos criar os objetos filho, criar (para todos os objetos)) para este objeto e todos os objetos filho.
    • Permitir que permissões herdáveis do pai se propaguem para este objeto.

  • Modelos de certificado na pasta de modelos de certificado
    • Autenticado usuários - permissão especial (Listar conteúdo, ler todas as propriedades, permissões de leitura).
    • Administradores de domínio - controle total.
    • Usuários do domínio - permissão especial (registrar).
    • Dependendo do modelo certificado para o qual o administrador quer o usuário tenha acesso, o usuário deve ter permissão de leitura para o modelo. O usuário deve ter permissão Registrar no modelo de fazer uma solicitação para o modelo.

  • Autoridade de certificação - Localizados no DC = domínio, CN = Configuration, CN = Services, CN = Public Key Services.
    • Usuários - permissão especial (Listar conteúdo da ler todas as propriedades, ler permissões) autenticados para este objeto somente.
    • Administradores de empresas - permissão especial (Listar conteúdo da ler todas as propriedades, gravar todas as propriedades, permissões de ler, modificar permissões, modificar proprietário, todas as gravações validadas, todos os Extended direitos, todos criar os objetos filho, criar (para todos os objetos)) para este objeto somente.
    • Sistema - controle total para este objeto somente.
    • Administradores de empresas - controle total para este objeto e todos os objetos filho.
    • Administradores de domínio - permissão especial (Listar conteúdo da ler todas as propriedades, permissões de leitura, gravação todas as propriedades, excluir, permissões Ler, modificar permissões, modificar proprietário, todas as gravações validadas, todos os Extended direitos, todos criar os objetos filho, criar (para todos os objetos)) para este objeto e todos os objetos filho.
    • Permitir que permissões herdáveis do pai se propaguem para este objeto.

  • Objetos no contêiner de autoridade de certificação
    • Administradores de empresas - controle total.
    • Administradores de domínio - controle total.
    • Editores de certificados - controle total.
    • Administradores - controle total.
    • Todos - permissão especial (Listar conteúdo, ler todas as propriedades, permissões de leitura).

  • Serviços de registro - localizados no DC = domínio, CN = Configuration, CN = Services, CN = Public Key Services.
    • Usuários - permissão especial (Listar conteúdo da ler todas as propriedades, ler permissões) autenticados para este objeto somente.
    • Administradores de empresas - permissão especial (Listar conteúdo da ler todas as propriedades, gravar todas as propriedades, permissões de ler, modificar permissões, modificar proprietário, todas as gravações validadas, todos os Extended direitos, todos criar os objetos filho, criar (para todos os objetos)) para este objeto somente.
    • Sistema - controle total para este objeto somente.
    • Administradores de empresas - controle total para este objeto e todos os objetos filho.
    • Administradores de domínio - permissão especial (Listar conteúdo da ler todas as propriedades, permissões de leitura, gravação todas as propriedades, excluir, permissões Ler, modificar permissões, modificar proprietário, todas as gravações validadas, todos os Extended direitos, todos criar os objetos filho, criar (para todos os objetos)) para este objeto e todos os objetos filho.
    • Permitir que permissões herdáveis do pai se propaguem para este objeto.

  • Objetos no recipiente de serviços de registro
    • Autenticado usuários - permissão especial (Listar conteúdo, ler todas as propriedades, gravar todas as propriedades, permissões de leitura) para este objeto e todos os objetos filho.
    • Administradores de domínio - controle total.
    • Administradores de empresas - controle total.
    • Administradores - controle total.

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 239706 - Última Revisão: 12/05/2015 15:33:15 - Revisão: 2.2

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbnosurvey kbarchive kbmt kbenv kbinfo KB239706 KbMtpt
Comentários