A System Center Configuration Managerben tanúsítványprofilok tanúsítványsablonok engedélyeinek tervezésePlanning for certificate template permissions for certificate profiles in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A következő információk segítségével tervezheti meg a System Center Configuration Manager használó tanúsítványprofilok központi telepítésekor a tanúsítványsablonok engedélyeinek tervezésében.The following information can help you plan for how to configure permissions for the certificate templates that System Center Configuration Manager uses when you deploy certificate profiles.

Alapértelmezett biztonsági engedélyek és megfontolásokDefault Security Permissions and Considerations

A System Center Configuration Manager segítségével a felhasználók és eszközök tanúsítványt igényelni a tanúsítványsablonok szükséges alapértelmezett biztonsági engedélyek a következők:The default security permissions that are required for the certificate templates that System Center Configuration Manager will use to request certificates for users and devices are as follows:

  • Olvasás és Beléptetés ahhoz a fiókhoz, amelyiket a Hálózati eszközök tanúsítványigénylési szolgáltatásának alkalmazáskészlete használRead and Enroll for the account that the Network Device Enrollment Service application pool uses

  • Olvassa el a fiókhoz, amelyen fut a System Center Configuration Manager konzolRead for the account that runs the System Center Configuration Manager console

    Ezek a biztonsági engedélyek kapcsolatos további információkért lásd: tanúsítványinfrastruktúra konfigurálása.For more information about these security permissions, see Configuring certificate infrastructure.

    Ha ezt az alapértelmezett konfigurálást használja, a felhasználók és az eszközök nem tudnak közvetlenül lekérni tanúsítványokat a tanúsítványsablonokból, hanem minden lekérést a Hálózati eszközök tanúsítványigénylési szolgáltatásával kell kezdeményezni.When you use this default configuration, users and devices cannot directly request certificates from the certificate templates and all requests must be initiated by the Network Device Enrollment Service. Ez fontos korlátozás, mivel ezeket a tanúsítványsablonokat a tanúsítvány Tárgy tulajdonságában A kérelem fogja tartalmazni használatával kell konfigurálni, ami azt jelenti, hogy fennáll a megszemélyesítés kockázata, ha egy csaló felhasználó vagy sérült integritású eszköz kér le tanúsítványt.This is an important restriction, because these certificate templates must be configured with Supply in the request for the certificate Subject, which means that there is a risk of impersonation if a rogue user or a compromised device requests a certificate. A alapértelmezett konfigurálásban az ilyen lekérést a Hálózati eszközök tanúsítványigénylési szolgáltatásának kell kezdeményezni.In the default configuration, the Network Device Enrollment Service must initiate such a request. A megszemélyesítés kockázata azonban továbbra is fennáll, ha a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató szolgáltatás sérült integritású.However, this risk of impersonation remains if the service that runs the Network Device Enrollment Service is compromised. A kockázat elkerülését elősegítendő járjon el a Hálózati eszközök tanúsítványigénylési szolgáltatása, valamint a szerepkör futtatását végző számítógép biztonságának megfelelő bevált gyakorlat szerint.To help avoid this risk, follow all security best practices for the Network Device Enrollment Service and the computer that runs this role service.

    Ha az alapértelmezett biztonsági engedélyek nem felelnek meg az üzleti követelményeinek, akkor lehetősége, hogy konfigurálja a tanúsítványsablonok biztonsági engedélyeit: Hozzáadhat olvasási és beléptetési engedélyek egyes felhasználókhoz és számítógépekhez.If the default security permissions do not fulfill your business requirements, you have another option for configuring the security permissions on the certificate templates: You can add Read and Enroll permissions for users and computers.

Olvasási és beléptetési engedélyek hozzárendelése egyes felhasználókhoz és számítógépekhezAdding Read and Enroll Permissions for Users and Computers

Hozzáadás olvasási és beléptetési engedélyek egyes felhasználókhoz és számítógépekhez való hozzárendelése megfelelő lehet, ha egy külön csapat felügyeli a hitelesítésszolgáltató (CA) infrastruktúra csapatát, és külön csapat azt akarja, hogy felhasználók van érvényes Active Directory tartományi szolgáltatások fiókja, mielőtt elküldené a tanúsítványprofilt a felhasználó tanúsítványának lekérésére ellenőrzése a System Center Configuration Manager.Adding Read and Enroll permissions for users and computers might be appropriate if a separate team manages your certification authority (CA) infrastructure team, and that separate team wants System Center Configuration Manager to verify that users have a valid Active Directory Domain Services account before sending them a certificate profile to request a user certificate. Az ilyen konfiguráláshoz egy vagy több biztonsági csoportot kell az érintett felhasználókból összeállítani, és az olvasási és beléptetési engedélyeket a tanúsítványsablonokon ezeknek a csoportoknak kell megadni.For this configuration, you must specify one or more security groups that contain the users, and then grant those groups Read and Enroll permissions on the certificate templates. Ebben a forgatókönyvben a hitelesítésszolgáltató rendszergazda felügyeli a biztonság ellenőrzését.In this scenario, the CA administrator manages the security control.

Az érintett számítógépi fiókokból hasonlóképpen összeállíthat egy vagy több olyan biztonsági csoportot, amelyeknek az olvasási és beléptetési engedélyeit a tanúsítványsablonokon adja meg.You can similarly specify one or more security groups that contain computer accounts and grant these groups Read and Enroll permissions on the certificate templates. Ha olyan számítógépre telepít tanúsítványprofilt, amelyik egy tartomány tagja, az olvasási és beléptetési engedélyt a számítógép számítógépi fiókjának kell megadni.If you deploy a computer certificate profile to a computer that is a domain member, the computer account of that computer must be granted Read and Enroll permissions. Ezek az engedélyek nem is szükséges, ha a számítógép nem egy tartományi memberâ "", ha például munkacsoportban működő számítógép vagy személyi mobilkészülék.These permissions are not required if the computer is not a domain member—for example, if it is a workgroup computer or personal mobile device.

Bár ez a konfigurálás további biztonsági ellenőrzést jelent, bevált gyakorlatként nem ajánljuk.Although this configuration uses an additional security control, we do not recommend it as a best practice. A hiba oka, hogy a megadott felhasználók, illetve eszköztulajdonosok a kérhetnek tanúsítványokat egymástól függetlenül a System Center Configuration Manager, és adjon meg értékeket a tanúsítvány tárgy, amelyik alkalmas lehet egy másik felhasználó vagy eszköz megszemélyesítésére.The reason is that the specified users or owners of the devices might request certificates independently from System Center Configuration Manager and supply values for the certificate Subject that might be used to impersonate another user or device.

Ezen kívül, ha olyan fiókokat ad meg, amelyek a tanúsítvány lekérésekor nem hitelesíthetők, a tanúsítványlekérés az alapértelmezés szerint sikertelen lesz.In addition, if you specify accounts that cannot be authenticated at the time that the certificate request occurs, the certificate request will fail by default. Például sikertelen lesz a tanúsítványlekérés, ha a Hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló olyan Active Directory erdőben van, amelyik nem megbízható azon erdő részére, amelyik a tanúsítványregisztrációs pont helyrendszer-kiszolgálóját tartalmazza.For example, the certificate request will fail if the server that is running the Network Device Enrollment Service is in an Active Directory forest that is untrusted by the forest that contains the certificate registration point site system server. A tanúsítványregisztrációs pont konfigurálható, hogy a folytatást ne akadályozza, ha valamelyik fiók nem hitelesíthető, mivel nincs válasz a tartományvezérlőtől.You can configure the certificate registration point to continue if an account cannot be authenticated because there is no response from a domain controller. Ez azonban biztonsági szempontból nem lehet bevált gyakorlat.However, this is not a security best practice.

Tudjon róla, hogy ha a tanúsítványregisztrációs pont úgy lett konfigurálva, hogy ellenőrizze a fiók engedélyeit, és közben a tartományvezérlő is elérhető, és az elutasítja a hitelesítési kérelmet (például a fiók ki lett zárva vagy törölve lett), a tanúsítvány beléptetési kérelme sikertelen lesz.Note that if the certificate registration point is configured to check for account permissions and a domain controller is available and rejects the authentication request (for example, the account is locked out or has been deleted), the certificate enrollment request will fail.

Felhasználók és tartománytag számítógépek olvasási és beléptetési kérelmeinek ellenőrzéseTo check for Read and Enroll permissions for users and domain-member computers

  1. A tanúsítványregisztrációs pontot üzemeltető helyrendszer-kiszolgáló hozza létre a következő DWORD-beállításkulcsot a 0 értékkel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOn the site system server that hosts the certificate registration point, create the following DWORD registry key to have a value of 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Ha valamelyik fiók nem hitelesíthető, mivel nincs válasz a tartományvezérlőtől, és szeretné megkerülni az engedélyek ellenőrzését:If an account cannot be authenticated because there is no response from a domain controller, and you want to bypass the permissions check:

    • A tanúsítványregisztrációs pontot üzemeltető helyrendszer-kiszolgáló hozza létre a következő DWORD-beállításkulcsot 1 értékre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDeniedOn the site system server that hosts the certificate registration point, create the following DWORD registry key to have a value of 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
  3. A tanúsítványsablon tulajdonságainál a Biztonság lapon a kibocsátó hitelesítésszolgáltatóhoz adjon hozzá egy vagy több biztonsági csoportot, hogy olvasási és beléptetési engedélyt adhasson a felhasználók vagy eszközök fiókja részére.On the issuing CA, on the Security tab in the properties for the certificate template, add one or more security groups to grant the user or device accounts Read and Enroll permissions.