Déploiement du gestionnaire de certificat Microsoft Identity Manager 2016 (MIM CM)

L’installation du gestionnaire de certificat Microsoft Identity Manager 2016 (MIM CM) présente plusieurs étapes. Dans un souci de simplification, nous décomposons les différentes étapes. Avant d’effectuer les étapes effectives de MIM CM, il convient au préalable de passer par des étapes préliminaires. Sans ce travail préliminaire, l’installation risque d’échouer.

Le diagramme ci-dessous présente un exemple du type d’environnement qui peut être utilisé. Les systèmes associés à des numéros sont inclus dans la liste située en dessous du diagramme et sont nécessaires pour mener à bien les étapes décrites dans cet article. Enfin, des serveurs Windows 2016 Datacenter sont utilisés :

Diagramme de l’environnement

  1. CORPDC : contrôleur de domaine
  2. CORPCM : serveur MIM CM
  3. CORPCA : autorité de certification
  4. CORPCMR : API REST MIM CM web – Portail CM pour API REST – Pour une utilisation ultérieure
  5. CORPSQL1 : SQL 2016 SP1
  6. CORPWK1 : joint à un domaine Windows 10

Vue d’ensemble du déploiement

  • Installation du système d’exploitation de base

    Le laboratoire est constitué de serveurs Windows 2016 Datacenter.

    Notes

    pour plus d’informations sur les plateformes prises en charge pour MIM 2016, consultez l’article sur les plateformes prises en charge pour MIM 2016.

  1. Étapes de prédéploiement

  2. Déploiement

Étapes de prédéploiement

L’Assistant Configuration de MIM CM vous invite à fournir les informations dont il a besoin pour aboutir.

schémas

Extension du schéma

Si le processus d’extension du schéma est simple, il doit être appréhendé avec soin du fait de son caractère irréversible.

Notes

Cette étape exige l’utilisation d’un compte disposant de droits d’administrateur de schéma.

  1. accédez à l’emplacement du support MIM et accédez au dossier \Certificate Management\x64.

  2. Copiez le dossier Schema sur CORPDC, puis accédez-y.

    schémas

  3. Exécutez le script du scénario de forêt unique resourceForestModifySchema.vbs. Pour le scénario de forêt de ressources, exécutez les scripts :

    • DomainA – Utilisateurs localisés (userForestModifySchema.vbs)

    • ResourceForestB – Emplacement de l’installation de CM (resourceForestModifySchema.vbs).

      Notes

      Les modifications de schéma sont des opérations à sens unique qui exigent l’annulation d’une récupération de forêt. Assurez-vous donc de disposer des sauvegardes nécessaires. Pour plus d’informations sur les modifications apportées au schéma en effectuant cette opération, consultez l’article Modifications de schéma Forefront Identity Manager 2010 Certificate Management

      schémas

  4. Exécutez le script ; à l’issue de son exécution, vous obtenez un message de réussite.

    Message de réussite

Le schéma dans AD est désormais étendu pour prendre en charge MIM CM.

Création de comptes et de groupes de service

Le tableau suivant présente un récapitulatif des comptes et des autorisations exigées par MIM CM. Vous pouvez autoriser MIM CM à créer automatiquement les comptes suivants, ou choisir de les créer avant l’installation. Les noms de comptes actuels peuvent être changés. Si vous décidez de créer vous-même les comptes, songez à nommer les comptes d’utilisateur de façon à pouvoir faire facilement le rapprochement avec leur fonction.

Utilisateurs :

Diagramme

Diagramme

Rôle Nom de connexion utilisateur
Agent MIM CM MIMCMAgent
Agent de récupération de clé MIM CM MIMCMKRAgent
Agent d’autorisation MIM CM MIMCMAuthAgent
Agent du gestionnaire d’autorités de certification MIM CM MIMCMManagerAgent
Agent de pool web MIM CM MIMCMWebAgent
Agent d’inscription MIM CM MIMCMEnrollAgent
Service de mise à jour MIM CM MIMCMService
Compte d’installation MIM MIMINSTALL
Agent de support technique CMHelpdesk1-2
Gestionnaire de CM CMManager1-2
Utilisateur abonné CMUser1-2

Groups:

Rôle Groupe
Membres du support technique CM MIMCM-Helpdesk
Gestionnaires de CM MIMCM-Managers
Membres abonnés CM MIMCM-Subscribers

PowerShell : comptes d’agent :

import-module activedirectory
## Agent accounts used during setup
$cmagents = @{
"MIMCMKRAgent" = "MIM CM Key Recovery Agent"; 
"MIMCMAuthAgent" = "MIM CM Authorization Agent"
"MIMCMManagerAgent" = "MIM CM CA Manager Agent";
"MIMCMWebAgent" = "MIM CM Web Pool Agent";
"MIMCMEnrollAgent" = "MIM CM Enrollment Agent";
"MIMCMService" = "MIM CM Update Service";
"MIMCMAgent" = "MIM CM Agent";
}
##Groups Used for CM Management
$cmgroups = @{
"MIMCM-Managers" = "MIMCM-Managers"
"MIMCM-Helpdesk" = "MIMCM-Helpdesk"
"MIMCM-Subscribers" = "MIMCM-Subscribers" 
}
##Users Used during testlab
$cmusers = @{
"CMManager1" = "CM Manager1"
"CMManager2" = "CM Manager2"
"CMUser1" = "CM User1"
"CMUser2" = "CM User2"
"CMHelpdesk1" = "CM Helpdesk1"
"CMHelpdesk2" = "CM Helpdesk2"
}

## OU Paths
$aoupath = "OU=Service Accounts,DC=contoso,DC=com" ## Location of Agent accounts
$oupath = "OU=CMLAB,DC=contoso,DC=com" ## Location of Users and Groups for CM Lab


#Create Agents – Update UserprincipalName
$cmagents.GetEnumerator() | Foreach-Object { 
New-ADUser -Name $_.Name -Description $_.Value -UserPrincipalName ($_.Name + "@contoso.com")  -Path $aoupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}


#Create Users
$cmusers.GetEnumerator() | Foreach-Object { 
New-ADUser -Name $_.Name -Description $_.Value -Path $oupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}

Mettre à jour la stratégie locale du serveur CORPCM pour les comptes d’agent

Nom de connexion utilisateur Description et autorisations
MIMCMAgent Fournit les services suivants :
-récupère les clés privées chiffrées auprès de l’autorité de certification.
-Protège les informations de code confidentiel de la carte à puce dans la base de données FIM CM.
-Protège les communications entre FIM CM et l’autorité de certification.

Ce compte d’utilisateur requiert les paramètres de contrôle d’accès suivants :
-
avec le droit d’utilisateur.
- Droit d’utilisateur
.
-Autorisation en lecture et en écriture sur le dossier temporaire du système à l’emplacement suivant : répertoire%windir%\temp.
-Un certificat de chiffrement et de signature numérique émis et installés dans le magasin de l’utilisateur.
MIMCMKRAgent Récupère les clés privées archivées auprès de l’autorité de certification. Ce compte d’utilisateur requiert les paramètres de contrôle d’accès suivants :
-
avec le droit d’utilisateur.
-Appartenance au groupe - local.
-Autorisation d’inscription sur le modèle de certificat
.
-Le certificat de l’agent de récupération de clé est émis et installé dans le magasin de l’utilisateur. Le certificat doit être ajouté à la liste des agents de récupération de clé de l’autorité de certification.
-Autorisation d’accès en lecture et en écriture sur le dossier temporaire du système à l’emplacement suivant : %WINDIR%\\Temp.
MIMCMAuthAgent Détermine les droits d’utilisateur et les autorisations pour les utilisateurs et les groupes. ce compte d’utilisateur requiert les paramètres de contrôle d’accès suivants :
-appartenance au groupe de domaine accès Compatible Pre-Windows 2000.
-Droit
accordé.
MIMCMManagerAgent Assure des activités de gestion d’autorité de certification.
L’autorisation gérer l’autorité de certification doit être attribuée à cet utilisateur.
MIMCMWebAgent Fournit l’identité pour le pool d’applications IIS. FIM CM s’exécute dans un processus d’interface de programmation d’applications Microsoft Win32®qui utilise les informations d’identification de cet utilisateur.
Ce compte d’utilisateur requiert les paramètres de contrôle d’accès suivants :
-appartenance au groupe
.
-Appartenance au groupe
local.
-Droit
accordé.
-Octroi du droit
.
-Droit d’utilisateur de
accordé.
-Affecté comme identité du pool d’applications IIS,
.
-Autorisation de lecture accordée sur la clé de Registre
.
-Ce compte doit également être approuvé pour la délégation.
MIMCMEnrollAgent Assure l’inscription pour le compte d’un utilisateur. Ce compte d’utilisateur requiert les paramètres de contrôle d’accès suivants :
-un certificat d’agent d’inscription émis et installé dans le magasin de l’utilisateur.
- Droit
.
-Autorisation d’inscription sur le modèle de certificat de l'
(ou modèle personnalisé, le cas échéant).

Création de modèles de certificats pour les comptes de service MIM CM

Trois des comptes de service utilisés par MIM CM nécessitent un certificat et l’Assistant Configuration vous demande de lui indiquer le nom des modèles de certificats qu’il doit utiliser pour demander ces certificats.

Les comptes de service qui nécessitent des certificats sont :

  • MIMCMAgent : ce compte a besoin d’un certificat utilisateur

  • MIMCMEnrollAgent : ce compte a besoin d’un certificat Agent d’inscription

  • MIMCMEnrollAgent : ce compte a besoin d’un certificat Agent de récupération de clé

AD contient déjà des modèles, mais nous devons créer nos propres versions de ces modèles pour les utiliser avec MIM CM. Autrement dit, nous devons apporter des modifications aux modèles de référence initiaux.

Sachant que les trois comptes ci-dessus disposeront de droits élevés au sein de votre organisation, ils devront être maniés avec précaution.

Créer le modèle de certificat Signature MIM CM

  1. Dans Outils d’administration, ouvrez Autorité de certification.

  2. Dans la console Autorité de certification, dans l’arborescence de la console, développez Contoso-CorpCA, puis cliquez sur Modèles de certificats.

  3. Cliquez avec le bouton droit sur Modèles de certificats, puis cliquez sur Gérer.

  4. Dans la Console des modèles de certificat, dans le volet des détails, sélectionnez et cliquez avec le bouton droit sur Utilisateur, puis cliquez sur Dupliquer le modèle.

  5. Dans la boîte de dialogue Dupliquer le modèle, sélectionnez Windows Server 2003 Entreprise et cliquez sur OK.

    Afficher les modifications résultantes

    Notes

    MIM CM ne prend pas en charge les certificats basés sur la version 3 des modèles de certificat. Vous devez créer un modèle de certificat Windows Server® 2003 Enterprise Edition (version 2). Pour plus d’informations, consultez les détails sur la version 3.

  6. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, dans la boîte de dialogue Nom complet du modèle, tapez Signature MIM CM. Faites passer la Période de validité à 2 ans, puis décochez la case Publier le certificat dans Active Directory.

  7. Sous l’onglet Traitement de la demande, vérifiez que la case Autoriser l’exportation de la clé privée est bien cochée, puis cliquez sur l’onglet Chiffrement.

  8. Dans la boîte de dialogue de sélection du chiffrement, désactivez Microsoft Enhanced Cryptographic Provider v1.0, activez Microsoft Enhanced RSA et AES Cryptographic Provider, puis cliquez sur OK.

  9. Sous l’onglet Nom du sujet, décochez les cases Inclure le nom de compte de messagerie dans le nom du sujet et Nom de messagerie électronique.

  10. Sous l’onglet Extensions, dans la liste Extensions incluses dans ce modèle, vérifiez que Stratégies d’application est sélectionné, puis cliquez sur Modifier.

  11. Dans la boîte de dialogue Modifier l’extension des stratégies d’application, sélectionnez les stratégies d’application Système de fichiers EFS et Messagerie sécurisée. Cliquez sur Supprimer, puis sur OK.

  12. Sous l’onglet sécurité , procédez comme suit :

    • Supprimez l’Administrateur.

    • Supprimez les Admins du domaine.

    • Supprimez les Utilisateurs du domaine.

    • Attribuez les autorisations Lecture et Écriture aux Administrateurs de l’entreprise uniquement.

    • Ajoutez MIMCMAgent.

    • Attribuez les autorisations Lecture et Inscription à MIMCMAgent.

  13. Dans la boîte de dialogue Propriétés du nouveau modèle, cliquez sur OK.

  14. Laissez la Console des modèles de certificat ouverte.

Créer le modèle de certificat Agent d’inscription MIM CM

  1. Dans la Console des modèles de certificat, dans le volet des détails, sélectionnez et cliquez avec le bouton droit sur Agent d’inscription, puis cliquez sur Dupliquer le modèle.

  2. Dans la boîte de dialogue Dupliquer le modèle, sélectionnez Windows Server 2003 Entreprise et cliquez sur OK.

  3. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, dans la zone Nom complet du modèle, tapez Agent d’inscription MIM CM. Vérifiez que la Période de validité est de 2 ans.

  4. Sous l’onglet Traitement de la demande, activez Autoriser l’exportation de la clé privée, puis cliquez sur l’onglet Fournisseur de services de chiffrement ou Chiffrement.

  5. Dans la boîte de dialogue Sélection du fournisseur de services de chiffrement, désactivez Microsoft Base Cryptographic Provider v1.0, désactivez Microsoft Enhanced Cryptographic Provider v1.0, activez Microsoft Enhanced RSA and AES Cryptographic Provider, puis cliquez sur OK.

  6. Sous l’onglet Sécurité, procédez comme suit :

    • Supprimez l’Administrateur.

    • Supprimez les Admins du domaine.

    • Attribuez les autorisations Lecture et Écriture aux Administrateurs de l’entreprise uniquement.

    • Ajoutez MIMCMEnrollAgent.

    • Attribuez les autorisations Lecture et Inscription à MIMCMEnrollAgent.

  7. Dans la boîte de dialogue Propriétés du nouveau modèle, cliquez sur OK.

  8. Laissez la Console des modèles de certificat ouverte.

Créer le modèle de certificat Agent de récupération de clé MIM CM

  1. Dans la console modèles de certificats , dans le volet d' informations , sélectionnez et cliquez avec le bouton droit sur agent de récupération de clé, puis cliquez sur dupliquer le modèle.

  2. Dans la boîte de dialogue Dupliquer le modèle, sélectionnez Windows Server 2003 Entreprise et cliquez sur OK.

  3. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, dans la boîte de dialogue Nom complet du modèle, tapez Agent de récupération de clé MIM CM. Vérifiez que la Période de validité est de 2 ans sous l’onglet Chiffrement.

  4. Dans la boîte de dialogue de sélection des fournisseurs, désactivez Microsoft Enhanced Cryptographic Provider v1.0, activez Microsoft Enhanced RSA et AES Cryptographic Provider, puis cliquez sur OK.

  5. Sous l’onglet Conditions d’émission, vérifiez que Approbation du gestionnaire de certificat de l’autorité de certification est désactivé.

  6. Sous l’onglet Sécurité, procédez comme suit :

    • Supprimez l’Administrateur.

    • Supprimez les Admins du domaine.

    • Attribuez les autorisations Lecture et Écriture aux Administrateurs de l’entreprise uniquement.

    • Ajoutez MIMCMKRAgent.

    • Attribuez les autorisations Lecture et Inscription à KRAgent.

  7. Dans la boîte de dialogue Propriétés du nouveau modèle, cliquez sur OK.

  8. Fermez la Console Modèles de certificat.

Publier les modèles de certificats nécessaires dans l’autorité de certification

  1. Restaurez la console Autorité de certification.

  2. Dans la console Autorité de certification, dans l’arborescence de la console, cliquez avec le bouton droit sur Modèles de certificats, pointez sur Nouveau, puis cliquez sur Modèle de certificat à délivrer.

  3. Dans la boîte de dialogue Activer les modèles de certificat, sélectionnez Agent d’inscription MIM CM, Agent de récupération de clé MIM CM et Signature MIM CM. Cliquez sur OK.

  4. Dans l’arborescence de la console, cliquez sur Modèles de certificats.

  5. Vérifiez que les trois nouveaux modèles figurent bien dans le volet des détails, puis fermez Autorité de certification.

    Signature MIM CM

  6. Fermez toutes les fenêtres ouvertes et fermez la session.

Configuration IIS

Afin d’héberger le site web pour CM, installez et configurez IIS.

Installer et configurer IIS

  1. Connectez-vous au compte CORLog in as MIMINSTALL

    Important

    Le compte d’installation MIM doit être un administrateur local.

  2. Ouvrez PowerShell, puis exécutez la commande suivante

    Install-WindowsFeature –ConfigurationFilePath

Notes

Un site nommé Default Web Site est installé par défaut avec IIS 7. Si ce site a été renommé ou supprimé, un site nommé Default Web Site doit être disponible pour pouvoir installer MIM CM.

Configuration de Kerberos

Le compte MIMCMWebAgent est appelé à exécuter le portail MIM CM. Par défaut, l’authentification du mode noyau est utilisée dans IIS. Vous devez désactiver l’authentification du mode noyau Kerberos et configurer à la place des noms principaux de service sur le compte MIMCMWebAgent. Certaines commandes nécessitent des autorisations élevées dans Active Directory et le serveur CORPCM.

Diagramme

#Kerberos settings
#SPN
SETSPN -S http/cm.contoso.com contoso\MIMCMWebAgent
#Delegation for certificate authority
Get-ADUser CONTOSO\MIMCMWebAgent | Set-ADObject -Add @{"msDS-AllowedToDelegateTo"="rpcss/CORPCA","rpcss/CORPCA.contoso.com"}

Mise à jour d’IIS sur CORPCM

schémas

add-pssnapin WebAdministration

Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name enabled -Value $true
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useKernelMode -Value $false
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useAppPoolCredentials -Value $true

Notes

Vous devrez ajouter un enregistrement DNS A pour « cm.contoso.com » et le faire pointer vers l’adresse IP de CORPCM.

Exiger SSL sur le portail MIM CM

Il est vivement recommandé d’exiger SSL sur le portail MIM CM. Si vous ne le faites pas, l’Assistant vous met en garde.

  1. Inscrivez le certificat web de cm.contoso.com affecté au site par défaut.

  2. Ouvrez le Gestionnaire des services Internet, puis accédez à Certificate Management.

  3. Dans la vue Fonctionnalités, double-cliquez sur Paramètres SSL.

  4. Dans la page Paramètres SSL, sélectionnez Exiger SSL.

  5. Dans le volet Actions, cliquez sur appliquer.

Configuration de la base de données CORPSQL pour MIM CM

  1. Vérifiez que vous êtes connecté au serveur CORPSQL01.

  2. Vérifiez que vous êtes connecté en tant que SQL DBA.

  3. exécutez le script T-SQL suivant pour autoriser le compte CONTOSO\MIMINSTALL à créer la base de données lorsque vous passez à l’étape de configuration.

    Notes

    nous devons revenir à SQL quand nous sommes prêts pour le module de stratégie de sortie &

    create login [CONTOSO\\MIMINSTALL] from windows;
    exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'dbcreator';
    exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'securityadmin';  
    

Message d’erreur de l’Assistant Configuration MIM CM

Déploiement de Microsoft Identity Manager 2016 Certificate Management

  1. Vérifiez que vous êtes bien connecté au serveur CORPCM et que le compte MIMINSTALL est membre du groupe Administrateurs locaux.

  2. Vérifiez que vous êtes connecté en tant que Contoso\MIMINSTALL.

  3. montez le Microsoft Identity Manager 2016 SP1 ou version ultérieure Service Pack ISO.

  4. Ouvrez le répertoire Management\x64 du certificat .

  5. Dans la fenêtre x64, cliquez avec le bouton droit sur Setup, puis cliquez sur Exécuter en tant qu’administrateur.

  6. Dans la page d’accueil de l’Assistant Installation de Microsoft Identity Manager Certificate Management, cliquez sur Suivant.

  7. Dans la page Contrat de Licence Utilisateur Final, lisez le contrat de licence, cochez la case J’accepte les termes du contrat de licence, puis cliquez sur Suivant.

  8. Dans la page Installation personnalisée, vérifiez que les composants Portail MIM CM et Service de mise à jour MIM CM sont configurés pour être installés, puis cliquez sur Suivant.

  9. Dans la page Dossier Web virtuel, assurez-vous que le nom du dossier virtuel est CertificateManagement, puis cliquez sur Suivant.

  10. Dans la page d’installation de Microsoft Identity Manager Certificate Management, cliquez sur Installer.

  11. dans la page fin de l’assistant installation de Microsoft Identity Manager certificate Management, cliquez sur terminer.

Fin de l’Assistant MIM CM

Assistant Configuration de Microsoft Identity Manager 2016 Certificate Management

Avant de vous connecter à CORPCM, ajoutez MIMINSTALL au groupe Admins du domaine, Administrateurs du schéma et Administrateurs locaux de l’Assistant Configuration. Il est possible par la suite de le supprimer une fois la configuration terminée.

Message d’erreur

  1. Dans le menu Démarrer, cliquez sur Assistant Configuration de Certificate Management. Exécutez-le en tant qu’Administrateur.

  2. Dans la page Assistant Configuration, cliquez sur Suivant.

  3. Dans la page Configuration de l' autorité de certification, assurez-vous que l’autorité de certification sélectionnée est contoso-CORPCA-ca, vérifiez que le serveur sélectionné est CORPCA.contoso.com, puis cliquez sur suivant.

  4. Dans la page Configurer la base de données Microsoft® SQL Server®, dans la zone Nom du serveur SQL , tapez CORPSQL1, cochez la case Utiliser mes informations d’identification pour créer la base de données, puis cliquez sur Suivant.

  5. Dans la page Paramètres de base de données, acceptez le nom de base de données par défaut FIMCertificateManagement, vérifiez que Authentification intégrée SQL est sélectionné, puis cliquez sur Suivant.

  6. Dans la page Configurer Active Directory, acceptez le nom par défaut fourni pour le point de connexion du service, puis cliquez sur Suivant.

  7. Dans la page Méthode d’authentification, vérifiez que Authentification intégrée de Windows est sélectionné, puis cliquez sur Suivant.

  8. Dans la page Agents - FIM CM, décochez la case Utiliser les paramètres FIM CM par défaut, puis cliquez sur Comptes personnalisés.

  9. Dans la boîte de dialogue multi-onglet Agents - FIM CM, sous chaque onglet, tapez les informations suivantes :

    • Nom d’utilisateur : Update

    • Mot de passe : Pass@word1

    • Confirmer le mot de passe : Pass@word1

    • Utiliser un utilisateur existant : Activé

      Notes

      Nous avons créé ces comptes précédemment. Veillez à répéter les procédures de l’étape 8 pour les six onglets de compte d’agent.

      Comptes MIM CM

  10. Une fois que toutes les informations de compte d’agent sont renseignées, cliquez sur OK.

  11. Dans la page Agents - MIM CM, cliquez sur Suivant.

  12. Dans la page Configurer les certificats du serveur, activez les modèles de certificats suivants :

    • Modèle de certificat à utiliser pour le certificat Agent de récupération de clé : MIMCMKeyRecoveryAgent.

    • Modèle de certificat à utiliser pour le certificat Agent FIM CM : MIMCMSigning.

    • Modèle de certificat à utiliser pour le certificat Agent d’inscription : FIMCMEnrollmentAgent.

  13. Dans la page Configurer les certificats du serveur, cliquez sur Suivant.

  14. Dans la page Configurer le serveur de messagerie et l’impression des documents, dans la zone Spécifiez le nom du serveur SMTP que vous souhaitez utiliser pour envoyer les notifications d’inscription par courrier électronique, puis cliquez sur Suivant.

  15. Sur la page prêt à configurer , cliquez sur configurer.

  16. Dans la boîte de dialogue d’avertissement Assistant Configuration – Microsoft Forefront Identity Manager 2010 R2, cliquez sur OK pour confirmer que SSL n’est pas activé sur le répertoire virtuel IIS.

    media/image17.png

    Notes

    Ne cliquez pas sur le bouton Terminer tant que l’exécution de l’Assistant Configuration n’est pas terminée. La journalisation de l’Assistant se trouve ici : %ProgramFiles%\Microsoft Forefront Identity Management\2010\Certificate Management\config.log

  17. Cliquez sur Terminer.

    Fin de l’Assistant MIM CM

  18. Fermez toutes les fenêtres.

  19. Ajoutez https://cm.contoso.com/certificatemanagement à la zone intranet locale dans votre navigateur.

  20. Visitez le site à partir du serveur CORPCM https://cm.contoso.com/certificatemanagement

    schémas

Vérifier le service d’isolation de clé CNG

  1. Dans Outils d’administration, ouvrez Services.

  2. Dans le volet des détails, double-cliquez sur Isolation de clé CNG.

  3. Sous l’onglet Général, changez le Type de démarrage en spécifiant Automatique.

  4. Sous l’onglet Général, démarrez le service s’il n’est pas à l’état démarré.

  5. Sous l’onglet Général, cliquez sur OK.

Installation et configuration des modules de l’autorité de certification :

Dans cette étape, nous allons installer et configurer les modules de l’autorité de certification FIM CM sur l’autorité de certification.

  1. Configurez FIM CM de sorte que seules les autorisations utilisateur soient inspectées pour les opérations de gestion.

  2. Dans la fenêtre C:\Program Files\Microsoft Forefront Identity Manager\2010\Certificate Management\web , effectuez une copie de web.config nommant la copie web.1.config.

  3. Dans la fenêtre Web, cliquez avec le bouton droit sur Web.config, puis cliquez sur Ouvrir.

    Notes

    Le fichier Web.config s’ouvre dans le Bloc-notes.

  4. Une fois le fichier ouvert, appuyez sur CTRL+F.

  5. Dans la boîte de dialogue Rechercher et remplacer, dans la zone Rechercher, tapez UseUser, puis cliquez sur Suivant trois fois.

  6. Fermez la boîte de dialogue Rechercher et remplacer.

  7. Vous devez être sur la ligne Add Key = "CLM. RequestSecurity. Flags" value = "UseUser, UseGroups" > /. Modifiez la ligne en lecture Add Key = "CLM. RequestSecurity. Flags" value = "UseUser" > /.

  8. Fermez le fichier en enregistrant toutes les modifications.

  9. Créez un compte pour l’ordinateur d’autorité de certification sur le serveur SQL <pas de script>.

  10. Vérifiez que vous êtes connecté au serveur CORPSQL01 .

  11. Veillez à vous connecter en tant que DBA.

  12. Dans le menu Démarrer, lancez SQL Server Management Studio.

  13. Dans la boîte de dialogue Se connecter au serveur, dans la zone Nom du serveur, tapez CORPSQL01, puis cliquez sur Se connecter.

  14. Dans l’arborescence de la console, développez Sécurité, puis cliquez sur Connexions.

  15. Cliquez avec le bouton droit sur connexions, puis cliquez sur nouvelle connexion.

  16. Dans la page général , dans la zone nom de connexion , tapez contoso\CORPCA $. Sélectionnez Authentification Windows. La base de données par défaut est FIMCertificateManagement.

  17. Dans le volet gauche, sélectionnez Mappage de l’utilisateur. Dans le volet droit, cliquez sur la case à cocher dans la colonne Mappage en regard de FIMCertificateManagement. Dans la liste Appartenance au rôle de base de données : FIMCertificateManagement, activez le rôle clmApp.

  18. Cliquez sur OK.

  19. fermez Microsoft SQL Server Management Studio.

Installer les modules de l’autorité de certification FIM CM sur l’autorité de certification

  1. Vérifiez que vous êtes connecté au serveur CORPCA.

  2. Dans la fenêtre X64, cliquez avec le bouton droit sur Setup.exe, puis cliquez sur Exécuter en tant qu’administrateur.

  3. sur la page bienvenue dans l’assistant installation de Microsoft Identity Manager certificate Management , cliquez sur suivant.

  4. Dans la page Contrat de Licence Utilisateur Final, lisez le contrat. Cochez la case J’accepte les termes du contrat de licence, puis cliquez sur Suivant.

  5. Dans la page Installation personnalisée, sélectionnez Portail MIM CM, puis cliquez sur Ce composant ne sera pas disponible.

  6. Dans la page Installation personnalisée, sélectionnez Service de mise à jour MIM CM, puis cliquez sur Ce composant ne sera pas disponible.

    Notes

    Le composant Fichiers CA MIM CM est alors le seul composant activé pour l’installation.

  7. Dans la page Installation personnalisée, cliquez sur Suivant.

  8. dans la page installer Microsoft Identity Manager gestion des certificats , cliquez sur installer.

  9. Dans la page de fin de l’Assistant Installation de Microsoft Identity Manager Certificate Management, cliquez sur Terminer.

  10. Fermez toutes les fenêtres.

Configurer le module de sortie MIM CM

  1. Dans Outils d’administration, ouvrez Autorité de certification.

  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur contoso-CORPCA-ca, puis cliquez sur Propriétés.

  3. Sous l’onglet module de sortie , sélectionnez module de sortie FIM cm, puis cliquez sur Propriétés.

  4. Dans la zone Spécifiez la chaîne de connexion de base de données FIM CM, tapez Connect Timeout=15;Persist Security Info=True; Integrated Security=sspi;Initial Catalog=FIMCertificateManagement;Data Source=CORPSQL01. Laissez la case à cocher chiffrer la chaîne de connexion activée, puis cliquez sur OK.

  5. Dans la zone de message Microsoft FIM Certificate Management, cliquez sur OK.

  6. Dans la boîte de dialogue Propriétés de contoso-CORPCA-CA, cliquez sur OK.

  7. Cliquez avec le bouton droit sur contoso-CORPCA-ca, pointez sur toutes les tâches, puis cliquez sur arrêter le service. Attendez que les services de certificats Active Directory s’arrêtent.

  8. Cliquez avec le bouton droit sur contoso-CORPCA-ca, pointez sur toutes les tâches, puis cliquez sur Démarrer le service.

  9. Réduisez la console Autorité de certification.

  10. Dans Outils d’administration, ouvrez Observateur d’événements.

  11. Dans l’arborescence de la console, développez Journaux des applications et des services, puis cliquez sur Gestion des certificats FIM.

  12. Dans la liste d’événements, vérifiez qu’il n’y a pas d’événements d’avertissement ou d’erreur parmi les derniers événements intervenus depuis le dernier redémarrage des services de certificats.

    Notes

    Le dernier événement doit indiquer que le module de sortie s’est chargé en utilisant les paramètres de : SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ContosoRootCA\ExitModules\Clm.Exit

  13. Réduisez l’Observateur d’événements.

Copier l’empreinte du certificat MIMCMAgent dans le Presse-papiers Windows®

  1. Restaurez la console Autorité de certification.

  2. Dans l’arborescence de la console, développez contoso-CORPCA-CA, puis cliquez sur Certificats délivrés.

  3. Dans le volet d' informations , double-cliquez sur le certificat avec CONTOSO\MIMCMAgent dans la colonne nom du demandeur et avec la signature FIM cm dans la colonne modèle de certificat .

  4. Sous l'onglet Détails, sélectionnez le champ Empreinte numérique.

  5. Sélectionnez l’empreinte, puis appuyez sur CTRL+C.

    Notes

    N’incluez pas d’espace de début dans la liste de caractères de l’empreinte.

  6. Dans la boîte de dialogue des certificats, cliquez sur OK.

  7. Dans le menu Démarrer, dans la zone Rechercher les programmes et fichiers, tapez Bloc-notes, puis appuyez sur Entrée.

  8. Dans le Bloc-notes, dans le menu Edition, cliquez sur Coller.

  9. Dans le menu Edition, cliquez sur Remplacer.

  10. Dans la zone Rechercher, tapez un espace, puis cliquez sur Remplacer tout.

    Notes

    Cette opération supprime tous les espaces figurant entre les caractères de l’empreinte.

  11. Dans la boîte de dialogue Remplacer, cliquez sur Annuler.

  12. Sélectionnez la chaîne de l’empreinte numérique convertie, puis appuyez sur CTRL+C.

  13. Fermez le Bloc-notes sans enregistrer les modifications.

Configurer le module de stratégie FIM CM

  1. Restaurez la console Autorité de certification.

  2. Cliquez avec le bouton droit sur contoso-CORPCA-CA, puis cliquez sur Propriétés.

  3. Dans la boîte de dialogue Propriétés de contoso-CORPCA-CA, sous l’onglet Module de stratégie, cliquez sur Propriétés.

    • Sous l’onglet Général, vérifiez que Transmettre les demandes non FIM CM au module de stratégie par défaut pour traitement est sélectionné.

    • Sous l’onglet Certificats de signature, cliquez sur Ajouter.

    • Dans la boîte de dialogue Certificat, cliquez avec le bouton droit sur Spécifiez le hachage de certificat codé en hexadécimal, puis cliquez sur Coller.

    • Dans la boîte de dialogue des certificats, cliquez sur OK.

      Notes

      Si le bouton OK n’est pas activé, vous avez accidentellement ajouté un caractère masqué dans la chaîne de l’empreinte au moment où vous l’avez copiée à partir du certificat clmAgent. Répétez toutes les étapes de la Tâche 4 : copier l’empreinte numérique du certificat MIMCMAgent dans le Presse-papiers Windows de cet exercice.

  4. Dans la boîte de dialogue Propriétés de configuration, vérifiez que l’empreinte figure bien dans la liste Certificats de signature valides, puis cliquez sur OK.

  5. Dans la zone de message Gestion de certificats FIM, cliquez sur OK.

  6. Dans la boîte de dialogue Propriétés de contoso-CORPCA-CA, cliquez sur OK.

  7. Cliquez avec le bouton droit sur contoso-CORPCA-ca, pointez sur toutes les tâches, puis cliquez sur arrêter le service.

  8. Attendez que les services de certificats Active Directory s’arrêtent.

  9. Cliquez avec le bouton droit sur contoso-CORPCA-ca, pointez sur toutes les tâches, puis cliquez sur Démarrer le service.

  10. Fermez la console autorité de certification .

  11. Fermez toutes les fenêtres ouvertes, puis fermez la session.

La dernière étape du déploiement est que nous voulons nous assurer que CONTOSO\MIMCM-managers peut déployer et créer des modèles et configurer le système sans être administrateurs de schéma et de domaine. Le script suivant place les autorisations sur les modèles de certificats dans une liste de contrôle d’accès (ACL) en utilisant dsacls. Exécutez-le avec un compte qui dispose d’autorisations complètes pour modifier les autorisations Lecture et Écriture de sécurité pour chaque modèle de certificat existant de la forêt.

Premières étapes : configuration du point de connexion de service et des autorisations du groupe cible délégation de la gestion des modèles de profils

  1. Configurez les autorisations sur le point de connexion de service (SCP).

  2. Configurez la gestion de modèle de profil déléguée.

  3. Configurez les autorisations sur le point de connexion de service (SCP). aucun script>

  4. Vérifiez que vous êtes connecté au serveur virtuel CORPDC.

  5. Ouvrir une session en tant que contoso\corpadmin

  6. Dans Outils d’administration, ouvrez Active Directory utilisateurs et ordinateurs.

  7. Dans Active Directory utilisateurs et ordinateurs, dans le menu affichage , assurez-vous que l’option fonctionnalités avancées est activée.

  8. Dans l’arborescence de la console, développez Contoso.comSystemMicrosoftCertificate Lifecycle Manager, puis cliquez sur CORPCM.

  9. Cliquez avec le bouton droit sur CORPCM, puis cliquez sur Propriétés.

  10. Dans la boîte de dialogue Propriétés de CORPCM, sous l’onglet Sécurité, ajoutez les groupes suivants avec les autorisations correspondantes :

    Groupe Autorisations
    mimcm-Managers Lire
    FIM cm audit
    FIM cm inscription agent FIM cm
    demande inscrire FIM cm demande
    récupérer
    FIM cm demande renouveler
    FIM cm demande révoquer la
    demande de déblocage de demande FIM cm
    mimcm-HelpDesk Lire
    l’agent d’inscription FIM cm-
    demande FIM cm Request Revoke
    FIM cm Request Unblock Smart Card
  11. Dans la boîte de dialogue Propriétés de CORPDC, cliquez sur OK.

  12. Laissez la console Utilisateurs et ordinateurs Active Directory ouverte.

Configurer les autorisations sur les objets utilisateur descendants

  1. Vérifiez que vous êtes toujours dans la console Utilisateurs et ordinateurs Active Directory.

  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Contoso.com, puis cliquez sur Propriétés.

  3. Sous l’onglet Sécurité, cliquez sur Avancé.

  4. Dans la boîte de dialogue Paramètres de sécurité avancés pour Contoso, cliquez sur Ajouter.

  5. Dans la boîte de dialogue Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, dans la zone Entrer le nom de l’objet à sélectionner, tapez mimcm-Managers, puis cliquez sur OK.

  6. Dans la boîte de dialogue entrée d’autorisation pour Contoso , dans la liste appliquer à , sélectionnez objets utilisateur descendants , puis activez la case à cocher autoriser pour les autorisationssuivantes :

    • Lire toutes les propriétés

    • Autorisations de lecture

    • FIM CM Audit

    • FIM CM Enrollment Agent

    • FIM CM Request Enroll

    • FIM CM Request Recover

    • FIM CM Request Renew

    • FIM CM Request Revoke

    • FIM CM Request Unblock Smart Card

  7. Dans la boîte de dialogue Entrée d’autorisation pour Contoso, cliquez sur OK.

  8. Dans la boîte de dialogue Paramètres de sécurité avancés pour Contoso, cliquez sur Ajouter.

  9. Dans la boîte de dialogue Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, dans la zone Entrer le nom de l’objet à sélectionner, tapez mimcm-HelpDesk, puis cliquez sur OK.

  10. Dans la boîte de dialogue Entrée d’autorisation pour Contoso, dans la liste Appliquer à, sélectionnez Objets utilisateur descendants, puis cochez la case Autoriser pour les autorisations suivantes :

    • Lire toutes les propriétés

    • Autorisations de lecture

    • FIM CM Enrollment Agent

    • FIM CM Request Revoke

    • FIM CM Request Unblock Smart Card

  11. Dans la boîte de dialogue entrée d’autorisation pour Contoso , cliquez sur OK.

  12. dans la boîte de dialogue Paramètres de sécurité avancée pour Contoso , cliquez sur OK.

  13. Dans la boîte de dialogue Propriétés de contoso.com, cliquez sur OK.

  14. Laissez la console Utilisateurs et ordinateurs Active Directory ouverte.

Configurer les autorisations sur les objets utilisateur descendants aucun script>

  1. Vérifiez que vous êtes toujours dans la console Utilisateurs et ordinateurs Active Directory.

  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Contoso.com, puis cliquez sur Propriétés.

  3. Sous l’onglet Sécurité, cliquez sur Avancé.

  4. Dans la boîte de dialogue Paramètres de sécurité avancés pour Contoso, cliquez sur Ajouter.

  5. Dans la boîte de dialogue Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, dans la zone Entrer le nom de l’objet à sélectionner, tapez mimcm-Managers, puis cliquez sur OK.

  6. Dans la boîte de dialogue Entrée d’autorisation pour Contoso, dans la liste Appliquer à, sélectionnez Objets utilisateur descendants, puis cochez la case Autoriser pour les autorisations suivantes :

    • Lire toutes les propriétés

    • Autorisations de lecture

    • FIM CM Audit

    • FIM CM Enrollment Agent

    • FIM CM Request Enroll

    • FIM CM Request Recover

    • FIM CM Request Renew

    • FIM CM Request Revoke

    • FIM CM Request Unblock Smart Card

  7. Dans la boîte de dialogue entrée d’autorisation pour Contoso , cliquez sur OK.

  8. dans la boîte de dialogue Paramètres de sécurité avancée pour CONTOSO , cliquez sur ajouter.

  9. Dans la boîte de dialogue Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, dans la zone Entrer le nom de l’objet à sélectionner, tapez mimcm-HelpDesk, puis cliquez sur OK.

  10. Dans la boîte de dialogue entrée d’autorisation pour Contoso , dans la liste appliquer à , sélectionnez objets utilisateur descendants , puis activez la case à cocher autoriser pour les autorisationssuivantes :

    • Lire toutes les propriétés

    • Autorisations de lecture

    • FIM CM Enrollment Agent

    • FIM CM Request Revoke

    • FIM CM Request Unblock Smart Card

  11. Dans la boîte de dialogue entrée d’autorisation pour Contoso , cliquez sur OK.

  12. dans la boîte de dialogue Paramètres de sécurité avancée pour Contoso , cliquez sur OK.

  13. Dans la boîte de dialogue Propriétés de contoso.com, cliquez sur OK.

  14. Laissez la console Utilisateurs et ordinateurs Active Directory ouverte.

Deuxièmes étapes : délégation des autorisations de gestion de modèle de certificat script>

  • Délégation des autorisations sur le conteneur Modèles de certificats.

  • Délégation des autorisations sur le conteneur d’OID.

  • Délégation des autorisations sur les modèles de certificats existants.

Définir les autorisations sur le conteneur Modèles de certificats :

  1. Restaurez la console Sites et services Active Directory.

  2. Dans l’arborescence de la console, développez Services, Public Key Services, puis cliquez sur Modèles de certificats.

  3. Dans l’arborescence de la console, cliquez avec le bouton droit sur Modèles de certificats, puis cliquez sur Délégation de contrôle.

  4. Dans l’Assistant Délégation de contrôle, cliquez sur Suivant.

  5. Dans la page Utilisateurs et groupes, cliquez sur Ajouter.

  6. Dans la boîte de dialogue Sélectionner les ordinateurs, les ordinateurs ou les groupes, dans la zone Entrez les noms des objets à sélectionner, tapez mimcm-Managers, puis cliquez sur OK.

  7. Dans la page Utilisateurs et groupes, cliquez sur Suivant.

  8. Dans la page Tâches à déléguer, cliquez sur Créer une tâche personnalisée à déléguer, puis sur Suivant.

  9. Dans la page Type d’objet Active Directory, vérifiez que De ce dossier et des objets qui s’y trouvent. Déléguer aussi la création de nouveaux objets dans ce dossier est sélectionné, puis cliquez sur Suivant.

  10. Dans la page Autorisations, dans la liste Autorisations, cochez la case Contrôle total, puis cliquez sur Suivant.

  11. Dans la page Fin de l’Assistant Délégation de contrôle, cliquez sur Terminer.

Définir les autorisations sur le conteneur d’OID :

  1. Dans l’arborescence de la console, cliquez avec le bouton droit sur OID, puis cliquez sur Propriétés.

  2. Dans la boîte de dialogue Propriétés de OID, sous l’onglet Sécurité, cliquez sur Avancé.

  3. Dans la boîte de dialogue Paramètres de sécurité avancés pour OID, cliquez sur Ajouter.

  4. Dans la boîte de dialogue Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, dans la zone Entrer le nom de l’objet à sélectionner, tapez mimcm-Managers, puis cliquez sur OK.

  5. Dans la boîte de dialogue Entrée d’autorisation pour OID, vérifiez que les autorisations s’appliquent à Cet objet et tous ceux descendants, cliquez sur Contrôle total, puis sur OK.

  6. Dans la boîte de dialogue Paramètres de sécurité avancés pour OID, cliquez sur OK.

  7. Dans la boîte de dialogue Propriétés de OID, cliquez sur OK.

  8. Fermez Sites et services Active Directory.

Scripts : autorisations sur l’OID, conteneur modèles de certificat de modèle de profil

schémas

import-module activedirectory
$adace = @{
"OID" = "AD:\\CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"CT" = "AD:\\CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"PT" = "AD:\\CN=Profile Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com"
}
$adace.GetEnumerator() | **Foreach-Object** {
$acl = **Get-Acl** *-Path* $_.Value
$sid=(**Get-ADGroup** "MIMCM-Managers").SID
$p = **New-Object** System.Security.Principal.SecurityIdentifier($sid)
##https://msdn.microsoft.com/library/system.directoryservices.activedirectorysecurityinheritance(v=vs.110).aspx
$ace = **New-Object** System.DirectoryServices.ActiveDirectoryAccessRule
($p,[System.DirectoryServices.ActiveDirectoryRights]"GenericAll",[System.Security.AccessControl.AccessControlType]::Allow,
[DirectoryServices.ActiveDirectorySecurityInheritance]::All)
$acl.AddAccessRule($ace)
**Set-Acl** *-Path* $_.Value *-AclObject* $acl
}

Scripts : Délégation des autorisations sur les modèles de certificats existants.

schémas

dsacls "CN=Administrator,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CAExchange,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CEPEncryption,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ClientAuth,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CodeSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CrossCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CTLSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DirectoryEmailReplication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DomainController,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DomainControllerAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EFS,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EFSRecovery,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EnrollmentAgentOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ExchangeUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ExchangeUserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMKeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=IPSecIntermediateOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=IPSecIntermediateOnline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=KerberosAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=KeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=Machine,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=MachineEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=OCSPResponseSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=OfflineRouter,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=RASAndIASServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SmartCardLogon,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SmartCardUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SubCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=User,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=UserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=WebServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=Workstation,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO