Tham gia Đăng nhập
Điểm:0
Daniel avatar Server

Nhắm mục tiêu CA doanh nghiệp cụ thể để đăng ký tự động?

lá cờ in
Daniel

Chúng tôi có hai CA doanh nghiệp trung gian (Windows AD CS) trong miền AD của chúng tôi. Cả hai CA chỉ được bật vai trò Tổ chức phát hành chứng chỉ.

CA1 chịu trách nhiệm cấp chứng chỉ cho máy trạm và người dùng và có mẫu Xác thực máy trạm.

CA2 chịu trách nhiệm cấp chứng chỉ cho máy chủ và có mẫu Xác thực máy chủ.

Tự động đăng ký được bật trên tất cả các Máy trạm và máy chủ trong miền của chúng tôi và đang hoạt động.

Vấn đề:

Máy trạm chỉ nên nhắm mục tiêu CA1 để đăng ký tự động
và máy chủ chỉ nên nhắm mục tiêu CA2 để đăng ký tự động.

Tôi muốn đạt được điều này bằng cách sử dụng các chính sách nhóm.

Tôi biết rằng tôi chỉ có thể cho phép đăng ký tự động trên một mẫu cho các thành viên của nhóm bảo mật và điều đó sẽ hiệu quả.

Tuy nhiên, tôi thích giải pháp sử dụng chính sách nhóm hơn, vì chúng tôi tổ chức các máy trạm và máy chủ trong các OU khác nhau. Tôi có thể nhắm mục tiêu cả hai nhóm bằng chính sách nhóm trên OU. Giải pháp nhóm bảo mật sẽ yêu cầu chúng tôi quản lý hai nhóm bảo mật mới trên đó.

Có thể định cấu hình máy trạm hoặc máy chủ để chỉ tự động đăng ký từ một Enterprise CA cụ thể không? Tôi sẵn sàng cho các lựa chọn thay thế, nếu chúng có thể đạt được bằng cách sử dụng chính sách nhóm.

30
0 + 0
pki
Điểm:1
avatar Server
lá cờ cn
Crypt32

Tôi cởi mở với các lựa chọn thay thế, nếu chúng có thể đạt được bằng cách sử dụng chính sách nhóm.

Tôi nghĩ rằng bạn đã đi sai hướng. Giải pháp được chọn dựa trên một vấn đề, không đối lập. Yêu cầu của bạn (chỉ GPO) không được chứng minh bằng một vấn đề.

Hãy tập trung vào một vấn đề:

  • Máy trạm chỉ nên nhắm mục tiêu CA1 để đăng ký tự động
  • và máy chủ chỉ nên nhắm mục tiêu CA2 để đăng ký tự động

nhiệm vụ này được giải quyết bằng quyền. Đặt các máy trạm trong một nhóm bảo mật (giả sử là "Máy trạm") và cấp quyền Đọc, Đăng ký và Tự động đăng ký cho mẫu chứng chỉ "Xác thực máy trạm". Chỉ gán mẫu này cho CA1.

Đặt các máy chủ trong một nhóm bảo mật (giả sử là "Máy chủ") và cấp quyền Đọc, Đăng ký và Tự động đăng ký cho mẫu chứng chỉ "Xác thực máy chủ". Chỉ gán mẫu này cho CA2.

GPO tự động đăng ký đơn có thể được áp dụng cho đơn vị tổ chức cấp cao nhất hoặc thậm chí ở cấp miền. Một phương pháp hay là áp dụng GPO tự động đăng ký ở cấp miền và cài đặt tự động đăng ký chính xác (ai và mẫu nào có thể sử dụng để tự động đăng ký) được kiểm soát bởi các quyền đối với mẫu chứng chỉ và gán mẫu cho các CA tương ứng.

0 + 0
Daniel avatar
lá cờ in
Daniel
Cảm ơn vì đã trả lời. Có thể cho khách hàng biết máy chủ ADCS nào cần nhắm mục tiêu để đăng ký tự động không? Tôi đồng ý rằng sử dụng các nhóm bảo mật nếu thích hợp hơn nhưng tôi không đồng ý với đánh giá của bạn, rằng cách tiếp cận của tôi là một phương pháp tồi. Các nhóm bảo mật áp đặt thêm công việc trong môi trường hiện tại của chúng tôi. Đó là thông lệ bình thường để triển khai các chính sách dựa trên OU, cách tiếp cận của tôi phù hợp với điều đó.
0
Hồi đáp
lá cờ cn
Crypt32
`Có thể cho khách hàng biết máy chủ ADCS nào sẽ được nhắm mục tiêu để đăng ký tự động không?` -- không. Tôi đã vạch ra cách nó nên được thực hiện theo các thông lệ tốt nhất. `Thông thường triển khai các chính sách dựa trên OU` -- không dành cho đăng ký tự động do các chi tiết cụ thể của nó.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.