Wdrażanie Microsoft Identity Manager certyfikatów 2016 (MIM CM)

Instalacja programu Microsoft Identity Manager Certificate Manager 2016 (MIM CM) obejmuje kilka kroków. Aby uprościć proces, łamiemy pewne rzeczy. Istnieją wstępne kroki, które należy wykonać przed rzeczywistymi MIM cmdł. Bez wstępnych prac instalacja prawdopodobnie nie powiedzie się.

Na poniższym diagramie przedstawiono przykład typu środowiska, które może być używane. Systemy z liczbami znajdują się na liście poniżej diagramu i są wymagane do pomyślnego wykonania kroków zawartych w tym artykule. Na koniec Windows 2016 Datacenter Servers są używane:

Diagram środowiska

  1. CORPDC — kontroler domeny
  2. CORPCM — MIM CM Server
  3. CORPCA — urząd certyfikacji
  4. CORPCMR — interfejs API REST MIM CM — interfejs API REST — portal zarządzania kluczami dla interfejsu API REST — używany do późniejszego
  5. 2016 SQL 2016 SP1
  6. CORPWK1 — Windows 10 przyłączone do domeny

Omówienie wdrażania

  • Instalacja podstawowego systemu operacyjnego

    Laboratorium składa się z serwerów z systemem Windows 2016 Datacenter.

    Uwaga

    Aby uzyskać więcej informacji na temat obsługiwanych platform dla programu MIM 2016, zobacz artykuł zatytułowany Obsługiwane platformy dla programu MIM 2016.

  1. Kroki przed wdrożeniem

  2. Wdrożenie

Kroki przed wdrożeniem

Kreator MIM konfiguracji zarządzania konfiguracją zarządzania konfiguracją wymaga, aby informacje zostały podane po drodze, aby można je było pomyślnie ukończyć.

Diagram

Rozszerzanie schematu

Proces rozszerzania schematu jest prosty, ale należy podchodzić do tego z rozwagą ze względu na jego nieodwracalny charakter.

Uwaga

Ten krok wymaga, aby używane konto ma uprawnienia administratora schematu.

  1. Przejdź do lokalizacji nośnika MIM i przejdź do folderu \Certificate Management\x64.

  2. Skopiuj folder Schema do kontrolera domeny CORPDC, a następnie przejdź do niego.

    Diagram

  3. Uruchom skrypt resourceForestModifySchema.vbs scenariusz pojedynczego lasu. W przypadku scenariusza lasu zasobów uruchom skrypty:

    • DomenaA — zlokalizowani użytkownicy (userForestModifySchema.vbs)

    • ResourceForestB — lokalizacja instalacji menedżera zarządzania usługami (resourceForestModifySchema.vbs).

      Uwaga

      Zmiany schematu są operacją jednokierunkową i wymagają wycofywania odzyskiwania lasu, dlatego upewnij się, że masz niezbędne kopie zapasowe. Aby uzyskać szczegółowe informacje na temat zmian wprowadzonych w schemacie przez wykonanie tej operacji, zapoznaj się z artykułem Forefront Identity Manager 2010 Certificate Management Schema Changes (Zmiany schematu zarządzania certyfikatami programu Forefront Identity Manager 2010)

      Diagram

  4. Po zakończeniu wykonywania skryptu powinien zostać wyświetlony komunikat o sukcesie.

    Komunikat z informacją o powodzeniu

Schemat w u usługi AD został rozszerzony o obsługę MIM zarządzania MIM zarządzania.

Tworzenie kont usług i grup

W poniższej tabeli przedstawiono podsumowanie kont i uprawnień wymaganych przez MIM zarządzania MIM zarządzania. Możesz zezwolić MIM cmdłowy automatycznie utworzyć następujące konta lub utworzyć je przed instalacją. Rzeczywiste nazwy kont można zmienić. Jeśli samodzielnie utworzysz konta, rozważ nazewnictwo kont użytkowników w taki sposób, aby można było łatwo dopasować nazwę konta użytkownika do jego funkcji.

Użytkowników:

Diagram

Diagram

Role Nazwa logowania użytkownika
MIM cm agent MIMCMAgent
MIM odzyskiwania klucza zarządzania kluczami MIMCMKRAgent
MIM agenta autoryzacji zarządzania menedżerem zarządzania MIMCMAuthAgent
MIM menedżera urzędu certyfikacji zarządzania certyfikatami MIMCMManagerAgent
MIM puli sieci Web programu cm MIMCMWebAgent
MIM agenta rejestracji zarządzania certyfikatami MIMCMEnrollAgent
MIM aktualizacji zarządzania usługami MIMCMService
MIM zainstaluj konto MIMINSTALL
Agent pomocy technicznej CMHelpdesk1-2
Menedżer zarządzania menedżerem zarządzania CMManager1–2
Użytkownik subskrybenta CMUser1–2

Grupy:

Role Grupa
Członkowie zespołu pomocy technicznej ds. zarządzania działem zarządzania MIMCM-Helpdesk
Członkowie menedżera ds. zarządzania MIMCM-Managers
Członkowie subskrybentów zarządzania subskrypcjami MIMCM-Subscribers

PowerShell: Konta agentów:

import-module activedirectory
## Agent accounts used during setup
$cmagents = @{
"MIMCMKRAgent" = "MIM CM Key Recovery Agent"; 
"MIMCMAuthAgent" = "MIM CM Authorization Agent"
"MIMCMManagerAgent" = "MIM CM CA Manager Agent";
"MIMCMWebAgent" = "MIM CM Web Pool Agent";
"MIMCMEnrollAgent" = "MIM CM Enrollment Agent";
"MIMCMService" = "MIM CM Update Service";
"MIMCMAgent" = "MIM CM Agent";
}
##Groups Used for CM Management
$cmgroups = @{
"MIMCM-Managers" = "MIMCM-Managers"
"MIMCM-Helpdesk" = "MIMCM-Helpdesk"
"MIMCM-Subscribers" = "MIMCM-Subscribers" 
}
##Users Used during testlab
$cmusers = @{
"CMManager1" = "CM Manager1"
"CMManager2" = "CM Manager2"
"CMUser1" = "CM User1"
"CMUser2" = "CM User2"
"CMHelpdesk1" = "CM Helpdesk1"
"CMHelpdesk2" = "CM Helpdesk2"
}

## OU Paths
$aoupath = "OU=Service Accounts,DC=contoso,DC=com" ## Location of Agent accounts
$oupath = "OU=CMLAB,DC=contoso,DC=com" ## Location of Users and Groups for CM Lab


#Create Agents – Update UserprincipalName
$cmagents.GetEnumerator() | Foreach-Object { 
New-ADUser -Name $_.Name -Description $_.Value -UserPrincipalName ($_.Name + "@contoso.com")  -Path $aoupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}


#Create Users
$cmusers.GetEnumerator() | Foreach-Object { 
New-ADUser -Name $_.Name -Description $_.Value -Path $oupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}

Aktualizowanie zasad lokalnych serwera CORPCM dla kont agentów

Nazwa logowania użytkownika Opis i uprawnienia
MIMCMAgent Zapewnia następujące usługi:
— pobiera zaszyfrowane klucze prywatne z urzędu certyfikacji.
- Chroni informacje o numerze PIN karty inteligentnej w bazie danych programu FIM CM.
- Chroni komunikację między programem FIM CM i urzędu certyfikacji.

To konto użytkownika wymaga następujących ustawień kontroli dostępu:
-
użytkownika.
-
z uprawnieniami użytkownika.
- Uprawnienia do odczytu i zapisu w systemowym folderze tymczasowym w następującej lokalizacji: %WINDIR%\Temp.
— certyfikat podpisu cyfrowego i szyfrowania wystawiony i zainstalowany w magazynie użytkowników.
MIMCMKRAgent Odzyskuje zarchiwizowane klucze prywatne z urzędu certyfikacji. To konto użytkownika wymaga następujących ustawień kontroli dostępu:
-
użytkownika.
- Członkostwo w lokalnej grupie -
— Uprawnienia do rejestrowania

— Certyfikat agenta odzyskiwania kluczy jest wystawiany i instalowany w magazynie użytkowników. Certyfikat należy dodać do listy agentów odzyskiwania kluczy w urzędu certyfikacji.
- Uprawnienie do odczytu i uprawnienia do zapisu w systemowym folderze tymczasowym w następującej lokalizacji: %WINDIR%\\Temp.
MIMCMAuthAgent Określa prawa użytkownika i uprawnienia dla użytkowników i grup. To konto użytkownika wymaga następujących ustawień kontroli dostępu: — członkostwo w grupie domeny Dostęp Windows
2000 zgodny z programem Pre-Windows 2000.
— udzielono
zabezpieczeń.
MIMCMManagerAgent Wykonuje działania związane z zarządzaniem urzędu certyfikacji.
Ten użytkownik musi mieć przypisane uprawnienie Zarządzanie dostępem urzędu certyfikacji.
MIMCMWebAgent Udostępnia tożsamość dla puli aplikacji usług IIS. Program FIM CM działa w ramach procesu interfejsu ® Microsoft Win32, który używa poświadczeń tego użytkownika.
To konto użytkownika wymaga następujących ustawień kontroli dostępu: — członkostwo w lokalnej

grupy.
- Członkostwo w lokalnej grupie

— udzielono
zabezpieczeń.

operacyjnego.
— Udzielono
procesu.
— przypisana jako tożsamość puli aplikacji usług IIS

- Udzielono uprawnienia do odczytu
klucza rejestru.
— To konto musi być również zaufane w przypadku delegowania.
MIMCMEnrollAgent Wykonuje rejestrację w imieniu użytkownika. To konto użytkownika wymaga następujących ustawień kontroli dostępu: — certyfikatu agenta rejestracji wystawionego i
zainstalowanego w magazynie użytkowników.
-
użytkownika.
— Uprawnienia do rejestrowania w
certyfikatu agenta rejestracji (lub szablonie niestandardowym, jeśli jest używany).

Tworzenie szablonów certyfikatów dla kont MIM zarządzania certyfikatami

Trzy konta usług używane przez usługę MIM CM wymagają certyfikatu, a kreator konfiguracji wymaga podania nazwy szablonów certyfikatów, których powinien używać do żądania certyfikatów.

Konta usług, które wymagają certyfikatów, to:

  • MIMCMAgent: to konto wymaga certyfikatu użytkownika

  • MIMCMEnrollAgent: to konto wymaga certyfikatu agenta rejestracji

  • MIMCMKRAgent: to konto wymaga certyfikatu agenta odzyskiwania kluczy

Istnieją już szablony w u usługi AD, ale musimy utworzyć własne wersje, aby pracować z MIM zarządzania MIM zarządzania. Ponieważ musimy wprowadzić modyfikacje z oryginalnych szablonów punktów odniesienia.

Wszystkie trzy z powyższych kont będą mieć podwyższony poziom uprawnień w organizacji i należy je dokładnie obsługiwać.

Tworzenie szablonu certyfikatu podpisywania MIM zarządzania certyfikatami

  1. W narzędziach administracyjnychotwórz urząd certyfikacji.

  2. W konsoli Urząd certyfikacji w drzewie konsoli rozwiń pozycję Contoso-CorpCA,a następnie kliknij pozycję Szablony certyfikatów.

  3. Kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów,a następnie kliknij polecenie Zarządzaj.

  4. W konsoli szablonów certyfikatóww okienku szczegółów wybierz i kliknij prawym przyciskiem myszy pozycję Użytkownik,a następnie kliknij polecenie Duplikuj szablon.

  5. W oknie dialogowym Duplikuj szablon wybierz pozycję Windows Server 2003Enterprise , a następnie kliknij przycisk OK.

    Pokazywanie wynikowych zmian

    Uwaga

    MIM zarządzania certyfikatami nie działa z certyfikatami opartymi na szablonach certyfikatów w wersji 3. Należy utworzyć szablon certyfikatu Windows Server® 2003 Enterprise (wersja 2). Aby uzyskać więcej informacji, zobacz szczegóły dotyczące wersji 3.

  6. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne w polu Nazwa wyświetlana szablonu wpisz MIM CM Signing. Zmień okres ważności na2 lata,a następnie wyczyść pole wyboru Publikuj certyfikat w usłudze Active Directory.

  7. Na karcie Obsługa żądań upewnij się, że pole wyboru Zezwalaj na eksportowanie klucza prywatnego jest zaznaczone, a następnie kliknij kartę Kryptografia.

  8. W oknie dialogowym Wybór kryptografii wyłącz opcję Rozszerzony dostawca kryptograficzny firmy Microsoft w wersji 1.0,włącz opcję Microsoft Enhanced RSA i dostawca usługkryptograficznych AES, a następnie kliknij przycisk OK.

  9. Na karcie Nazwa podmiotu wyczyść pola wyboru Uwzględnij nazwę e-mail w nazwie podmiotu i Nazwie e-mail.

  10. Na karcie Rozszerzenia na liście Rozszerzenia uwzględnione w tym szablonie upewnij się, że wybrano pozycję Zasady aplikacji, a następnie kliknij pozycję Edytuj.

  11. W oknie dialogowym Edytowanie rozszerzenia zasad aplikacji wybierz zasady aplikacji System szyfrowania plików i Bezpieczna poczta e-mail. Kliknij pozycję Usuń,a następnie kliknij przycisk OK.

  12. Na karcie Zabezpieczenia wykonaj następujące kroki:

    • Usuń administratora.

    • Usuń administratorów domeny.

    • Usuń użytkowników domeny.

    • Przypisz tylko uprawnienia do odczytu i zapisu Enterprise administratorom.

    • Dodaj program MIMCMAgent.

    • Przypisz uprawnienia Odczyti Rejestracja do usługi MIMCMAgent.

  13. W oknie dialogowym Właściwości nowego szablonu kliknij przycisk OK.

  14. Pozostaw otwartą konsolę Szablonów certyfikatów.

Tworzenie szablonu certyfikatu agenta rejestracji MIM zarządzania certyfikatami

  1. W konsoli szablonów certyfikatóww okienku szczegółów wybierz i kliknij prawym przyciskiem myszy pozycję Agent rejestracji,a następnie kliknij pozycję Duplikuj szablon.

  2. W oknie dialogowym Duplikuj szablon wybierz pozycję Windows Server 2003Enterprise , a następnie kliknij przycisk OK.

  3. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne w polu Nazwa wyświetlana szablonu wpisz polecenie MIM CM Enrollment Agent. Upewnij się, że okres ważności wynosi 2 lata.

  4. Na karcie Obsługa żądań włącz opcję Zezwalaj na eksportowanie klucza prywatnego, a następnie kliknij kartę CSP lub kryptografii.

  5. W oknie dialogowym Wybór dostawcy usług kryptograficznych wyłącz opcję Microsoft Base Cryptographic Provider v1.0,wyłącz opcję Microsoft Enhanced Cryptographic Provider v1.0,włącz usługę Microsoft Enhanced RSAi dostawcę usług kryptograficznych AES, a następnie kliknij przycisk OK.

  6. Na karcie Zabezpieczenia wykonaj następujące czynności:

    • Usuń administratora.

    • Usuń administratorów domeny.

    • Przypisz tylko uprawnienia do odczytu i zapisu Enterprise administratorom.

    • Dodaj program MIMCMEnrollAgent.

    • Przypisz uprawnienia Odczyti Rejestracja do mimcmEnrollAgent.

  7. W oknie dialogowym Właściwości nowego szablonu kliknij przycisk OK.

  8. Pozostaw otwartą konsolę Szablonów certyfikatów.

Tworzenie szablonu MIM certyfikatu agenta odzyskiwania kluczy zarządzania kluczami

  1. W konsoli Szablony certyfikatów w okienku szczegółów wybierz i kliknij prawym przyciskiem myszy pozycję Agentodzyskiwania kluczy, a następnie kliknij polecenie Duplikuj szablon.

  2. W oknie dialogowym Duplikuj szablon wybierz pozycję Windows Server 2003Enterprise , a następnie kliknij przycisk OK.

  3. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne w polu Nazwa wyświetlana szablonu wpisz polecenie MIM CM Key Recovery Agent. Upewnij się, że okres ważności wynosi 2 lata Na karcie Kryptografia.

  4. W oknie dialogowym Wybór dostawców wyłącz opcję Microsoft Enhanced Cryptographic Provider v1.0,włącz rozszerzone zabezpieczenia RSAfirmy Microsoft i dostawcę usług kryptograficznych AES, a następnie kliknij przycisk OK.

  5. Na karcie Wymagania wystawiania upewnij się, że zatwierdzanie menedżera certyfikatów urzędu certyfikacji jest wyłączone.

  6. Na karcie Zabezpieczenia wykonaj następujące czynności:

    • Usuń administratora.

    • Usuń administratorów domeny.

    • Przypisz tylko uprawnienia do odczytu i zapisu Enterprise administratorom.

    • Dodaj pozycję MIMCMKRAgent.

    • Przypisz uprawnienia Odczyti Rejestracja do usługi KRAgent.

  7. W oknie dialogowym Właściwości nowego szablonu kliknij przycisk OK.

  8. Zamknij okno Konsola szablonów certyfikatów.

Publikowanie wymaganych szablonów certyfikatów w urzędzie certyfikacji

  1. Przywróć konsolę Urząd certyfikacji.

  2. W konsoli Urząd certyfikacji w drzewie konsoli kliknij prawym przyciskiem myszy pozycję Szablonycertyfikatów, wskaż polecenie Nowy,a następnie kliknij pozycję Szablon certyfikatu do wystawienia.

  3. W oknie dialogowym Włączanie szablonów certyfikatów wybierz pozycję agent rejestracji MIM zarządzaniacertyfikatami, MIM cm key recovery agenti MIM zarządzania certyfikatami. Kliknij przycisk OK.

  4. W drzewie konsoli kliknij pozycję Szablony certyfikatów.

  5. Sprawdź, czy trzy nowe szablony są wyświetlane w okienku szczegółów, a następnie zamknij urząd certyfikacji.

    MIM zarządzania certyfikatami

  6. Zamknij wszystkie otwarte okna i wyloguj się.

Konfiguracja usług IIS

Aby hostować witrynę internetową dla usługi zarządzania konfiguracją, zainstaluj i skonfiguruj usługi IIS.

Instalowanie i konfigurowanie usług IIS

  1. Zaloguj się do konta CORLog w programiejako konto MIMINSTALL

    Ważne

    Konto MIM instalacji powinno być kontem administratora lokalnego

  2. Otwórz program PowerShell i uruchom następujące polecenie

    Install-WindowsFeature –ConfigurationFilePath

Uwaga

Witryna o nazwie Domyślna witryna sieci Web jest instalowana domyślnie z usługami IIS 7. Jeśli nazwa tej lokacji została zmieniona lub usunięta, lokacja o nazwie Domyślna witryna sieci Web musi być dostępna przed zainstalowaniem MIM zarządzania dostępem.

Konfigurowanie protokołu Kerberos

Na koncie MIMCMWebAgent będzie działać MIM CM Portal. Domyślnie w usługach IIS i w trybie jądra jest domyślnie używane uwierzytelnianie w usługach IIS. Zamiast tego wyłączysz uwierzytelnianie w trybie jądra Protokołu Kerberos i skonfigurujesz sieci SPN na koncie MIMCMWebAgent. Niektóre polecenia będą wymagać podwyższonym poziomem uprawnień w usłudze Active Directory i corpcm serwera.

Diagram

#Kerberos settings
#SPN
SETSPN -S http/cm.contoso.com contoso\MIMCMWebAgent
#Delegation for certificate authority
Get-ADUser CONTOSO\MIMCMWebAgent | Set-ADObject -Add @{"msDS-AllowedToDelegateTo"="rpcss/CORPCA","rpcss/CORPCA.contoso.com"}

Aktualizowanie usług IIS w CORPCM

Diagram

add-pssnapin WebAdministration

Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name enabled -Value $true
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useKernelMode -Value $false
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useAppPoolCredentials -Value $true

Uwaga

Należy dodać rekord DNS A dla rekordu "cm.contoso.com" i wskazać adres IP CORPCM

Wymaganie protokołu SSL w portalu MIM zarządzania certyfikatami

Zdecydowanie zaleca się wymaganie protokołu SSL w portalu zarządzania MIM zarządzania certyfikatami. Jeśli tego nie zdążesz, kreator nawet o tym ostrzega.

  1. Rejestrowanie w certyfikacie sieci Web na cm.contoso.com do witryny domyślnej

  2. Otwórz Menedżera usług IIS i przejdź do zarządzania certyfikatami

  3. W widoku funkcje kliknij dwukrotnie pozycję Ssl Ustawienia.

  4. Na stronie Ssl Ustawienia wybierz pozycję Wymagaj protokołu SSL.

  5. W okienku Akcje kliknij przycisk Zastosuj.

Konfiguracja bazy danych ORACLEQL for MIM CM

  1. Upewnij się, że masz połączenie z serwerem USBQL01.

  2. Upewnij się, że zalogowano się jako SQL DBA.

  3. Uruchom następujący skrypt T-SQL, aby umożliwić kontu CONTOSO\MIMINSTALL utworzenie bazy danych po dojściu do kroku konfiguracji

    Uwaga

    Gdy wszystko będzie gotowe do modułu zasad zakończenia, SQL wrócić do & pracy

    create login [CONTOSO\\MIMINSTALL] from windows;
    exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'dbcreator';
    exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'securityadmin';  
    

MIM komunikat o błędzie kreatora konfiguracji zarządzania konfiguracją zarządzania konfiguracją

Wdrażanie programu Microsoft Identity Manager 2016 Certificate Management

  1. Upewnij się, że masz połączenie z serwerem CORPCM i że konto MIMINSTALL jest członkiem lokalnej grupy administratorów.

  2. Upewnij się, że zalogowano się jako Użytkownik Contoso\MIMINSTALL.

  3. Zainstaluj plik ISO Microsoft Identity Manager 2016 SP1 lub nowszy.

  4. Otwórz katalog Certificate Management\x64.

  5. W oknie x64 kliknij prawym przyciskiem myszy pozycję Instalator, a następnie kliknij polecenie Uruchom jako administrator.

  6. Na stronie Witamy w Microsoft Identity Manager zarządzania certyfikatami Kreator instalacji kliknij przycisk Dalej.

  7. Na stronie End-User Licencji licencyjnej przeczytaj umowę, włącz pole wyboru Akceptuję warunki umowy licencyjnej,a następnie kliknij przycisk Dalej.

  8. Na stronie Konfiguracja niestandardowa upewnij się, że zainstalowano MIM CM Portal i składniki usługi aktualizacji MIM cm, a następnie kliknij przycisk Dalej.

  9. Na stronie Wirtualny folder sieci Web upewnij się, że nazwa folderu wirtualnego to CertificateManagement,a następnie kliknij przycisk Dalej.

  10. Na stronie Install Microsoft Identity Manager Certificate Management (Zarządzanie certyfikatami instalacji) kliknij pozycję Install (Zainstaluj).

  11. Na stronie Ukończono zarządzanie Microsoft Identity Manager certyfikatami Kreator instalacji kliknij przycisk Zakończ.

MIM cmdlet został ukończony

Kreator konfiguracji zarządzania Microsoft Identity Manager 2016

Przed zalogowaniem się do programu CORPCM dodaj program MIMINSTALL do grupy Administratorzy domeny, Administratorzy schematu i Administratorzy lokalni dla kreatora konfiguracji . Tę możliwość można usunąć później po zakończeniu konfiguracji.

Komunikat o błędzie

  1. W menu Start kliknij pozycję Kreator konfiguracji zarządzania certyfikatami. I Uruchom jako administrator

  2. Na stronie Kreator konfiguracji Witamy kliknij przycisk Dalej.

  3. Na stronie Konfiguracja urzędu certyfikacji upewnij się, że wybrany urząd certyfikacji to Contoso-CORPCA-CA,upewnij się, że wybrany serwer jest CORPCA.CONTOSO.COM ,a następnie kliknij przycisk Dalej.

  4. Na stronie Konfigurowanie bazy danych Microsoft® SQL Server® Database w polu Nazwa SQL Server wpisz WARTOŚĆ1 , włącz pole wyboru Użyj moich poświadczeń do utworzenia bazy danych, a następnie kliknij przycisk Dalej.

  5. Na stronie Ustawienia bazy danych zaakceptuj domyślną nazwę bazy danych FIMCertificateManagement,upewnij się, że wybrano opcję SQL zintegrowane uwierzytelnianie, a następnie kliknij przycisk Dalej.

  6. Na stronie Konfigurowanie usługi Active Directory zaakceptuj nazwę domyślną podaną dla punktu połączenia z usługą, a następnie kliknij przycisk Dalej.

  7. Na stronie Metoda uwierzytelniania potwierdź, że wybrano opcję Zintegrowane uwierzytelnianie systemu Windows, a następnie kliknij przycisk Dalej.

  8. Na stronie Agenci — program FIM CM wyczyść pole wyboru Użyj domyślnych ustawień programu FIM CM, a następnie kliknij pozycję Konta niestandardowe.

  9. W oknie dialogowym Agents – FIM CM multi-tabbed (Agenci — program FIM CM z wieloma kartami) na każdej karcie wpisz następujące informacje:

    • Nazwa użytkownika: Aktualizuj

    • Hasło: Has@lo1

    • Potwierdź hasło: Pass@word1

    • Użyj istniejącego użytkownika: Włączone

      Uwaga

      Te konta zostały utworzone wcześniej. Upewnij się, że procedury w kroku 8 są powtarzane dla wszystkich sześciu kart konta agenta.

      MIM kont cmdł

  10. Po zakończeniu wszystkich informacji o koncie agenta kliknij przycisk OK.

  11. Na stronie Agenci — MIM CM kliknij przycisk Dalej.

  12. Na stronie Konfigurowanie certyfikatów serwera włącz następujące szablony certyfikatów:

    • Szablon certyfikatu, który ma być używany dla certyfikatu agenta odzyskiwania klucza agenta odzyskiwania: MIMCMKeyRecoveryAgent.

    • Szablon certyfikatu, który ma być używany dla certyfikatu agenta usługi ZARZĄDZANIA programem FIM: MIMCMSigning.

    • Szablon certyfikatu, który ma być używany dla certyfikatu agenta rejestracji: FIMCMEnrollmentAgent.

  13. Na stronie Konfigurowanie certyfikatów serwera kliknij przycisk Dalej.

  14. Na stronie Konfigurowanie serwera poczty e-mail i drukowania dokumentów w polu Określ nazwę serwera SMTP, którego chcesz użyć do powiadomień o rejestracji poczty e-mail, a następnie kliknij przycisk Dalej.

  15. Na stronie Wszystko gotowe do skonfigurowania kliknij pozycję Konfiguruj.

  16. W oknie dialogowym ostrzeżenia Kreator konfiguracji — Microsoft Forefront Identity Manager 2010 R2 kliknij przycisk OK, aby potwierdzić, że protokół SSL nie jest włączony w katalogu wirtualnym usług IIS.

    nośniki/image17.png

    Uwaga

    Nie klikaj przycisku Zakończ, dopóki nie zostanie ukończone wykonywanie kreatora konfiguracji. Rejestrowanie kreatora można znaleźć tutaj: %programfiles%\Microsoft Forefront Identity Management\2010\Certificate Management\config.log

  17. Kliknij przycisk Finish (Zakończ).

    MIM cmdlet został ukończony

  18. Zamknij wszystkie otwarte okna.

  19. Dodaj https://cm.contoso.com/certificatemanagement do lokalnej strefy intranetowej w przeglądarce.

  20. Odwiedź witrynę z serwera CORPCM https://cm.contoso.com/certificatemanagement

    Diagram

Weryfikowanie usługi izolacji kluczy CNG

  1. W narzędziach administracyjnychotwórz usługę.

  2. W okienku szczegółów kliknij dwukrotnie pozycję Izolacja klucza CNG.

  3. Na karcie Ogólne zmień typ uruchamiania naAutomatyczny.

  4. Na karcie Ogólne uruchom usługę, jeśli nie jest w stanie uruchomienia.

  5. Na karcie Ogólne kliknij przycisk OK.

Instalowanie i konfigurowanie modułów urzędu certyfikacji:

W tym kroku zainstalujemy i skonfigurujemy moduły urzędu certyfikacji programu FIM CM w urzędzie certyfikacji.

  1. Konfigurowanie zarządzania konfiguracją w programie FIM w celu sprawdzania uprawnień użytkowników tylko do operacji zarządzania

  2. W oknie C:\Program Files\Microsoft Forefront Identity Manager\2010\Certificate Management\web skopiuj kopię folderu web.config nazwę kopiiweb.1.config.

  3. W oknie Sieć Web kliknij prawym przyciskiem myszy pozycjęWeb.config, a następnie kliknij polecenie Otwórz.

    Uwaga

    Plik Web.config zostanie otwarty w Notatniku

  4. Po otworze pliku naciśnij klawisze CTRL + F.

  5. W oknie dialogowym Znajdź i zamień w polu Znajdź, co wpiszUseUser,a następnie kliknij przycisk Znajdź dalej trzy razy.

  6. Zamknij okno dialogowe Znajdź i zamień.

  7. Powinna być w wierszu add key="Clm.RequestSecurity.Flags" value="UseUser,UseGroups" / >. Zmień wiersz, aby odczytać wartość add key="Clm.RequestSecurity.Flags" value="UseUser" / >.

  8. Zamknij plik, zapisując wszystkie zmiany.

  9. Tworzenie konta komputera urzędu certyfikacji na serwerze SQL < skryptu>

  10. Upewnij się, że masz połączenie z serwerem THEQL01.

  11. Upewnij się, że zalogowano się jako administrator baz danych

  12. W menu Start uruchom polecenie SQL Server Management Studio.

  13. W oknie Połączenie z serwerem w polu Nazwa serwera wpisz NAZWĘSQL01, a następnie kliknij przycisk Połączenie.

  14. W drzewie konsoli rozwiń pozycję Zabezpieczenia, a następnie kliknij pozycję Identyfikatory logowania.

  15. Kliknij prawym przyciskiem myszy pozycję Logins (Identyfikatorylogowania), a następnie kliknij pozycję New Login (Nowy identyfikator logowania).

  16. Na stronie Ogólne w polu Nazwa logowania wpisz contoso\CORPCA$. Wybierz pozycję Windows Authentication (Uwierzytelnianie). Domyślna baza danych to FIMCertificateManagement.

  17. W okienku po lewej stronie wybierz pozycję Mapowanie użytkownika. W okienku po prawej stronie kliknij pole wyboru w kolumnie Map obok pola FIMCertificateManagement. Na liście członkostwa w roli bazy danych dla: FIMCertificateManagement włącz rolę clmApp.

  18. Kliknij przycisk OK.

  19. Zamknij Microsoft SQL Server Management Studio.

Instalowanie modułów urzędu certyfikacji programu FIM CM w urzędzie certyfikacji

  1. Upewnij się, że masz połączenie z serwerem CORPCA.

  2. W oknach X64 kliknij prawym przyciskiem myszy pozycję Setup.exe, a następnie kliknij polecenie Uruchom jako administrator.

  3. Na stronie Witamy w Microsoft Identity Manager zarządzania certyfikatami Kreator instalacji kliknij przycisk Dalej.

  4. Na stronie Umowa licencyjna użytkownika oprogramowania przeczytaj umowę. Zaznacz pole wyboru Akceptuję warunki umowy licencyjnej, a następnie kliknij przycisk Dalej.

  5. Na stronie Konfiguracja niestandardowa wybierz pozycję MIM CM Portal,a następnie kliknij pozycję Ta funkcja nie będzie dostępna.

  6. Na stronie Konfiguracja niestandardowa wybierz pozycję MIM aktualizacjimenedżera zarządzania konfiguracją, a następnie kliknij pozycję Ta funkcja nie będzie dostępna.

    Uwaga

    Pozostawi to plik MIM zarządzania certyfikatami jako jedyną włączoną funkcją dla instalacji.

  7. Na stronie Konfiguracja niestandardowa kliknij przycisk Dalej.

  8. Na stronie Zarządzanie Microsoft Identity Manager instalacji kliknij przycisk Zainstaluj.

  9. Na stronie Ukończono Microsoft Identity Manager zarządzanie certyfikatami Kreator instalacji kliknij przycisk Zakończ.

  10. Zamknij wszystkie otwarte okna.

Konfigurowanie modułu MIM CM

  1. W narzędziach administracyjnychotwórz urząd certyfikacji.

  2. W drzewie konsoli kliknij prawym przyciskiem myszy pozycję contoso-CORPCA-CA,a następnie kliknij polecenie Właściwości.

  3. Na karcie Moduł zakończenia wybierz pozycję Moduł zakończenia programu FIM CM,a następnie kliknij pozycję Właściwości.

  4. W Określ parametrów połączenia bazy danych cm wpisz wartość Połączenie limitu czasu = 15; Utrwalanie informacji zabezpieczających = true; Integrated Security=sspi;Initial Catalog=FIMCertificateManagement;Data Source=SCALQL01. Pozostaw włączone pole wyboru Szyfruj ciąg połączenia, a następnie kliknij przycisk OK.

  5. W oknie komunikatu Zarządzanie certyfikatami programu Microsoft FIM kliknij przycisk OK.

  6. W oknie dialogowym contoso-CORPCA-CA Properties (Właściwości urzędu certyfikacji contoso-CORPCA-CA) kliknij przycisk OK.

  7. Kliknij prawym przyciskiem myszy pozycję contoso-CORPCA-CA,wskaż polecenie Wszystkie zadania,a następnie kliknij polecenie Zatrzymaj usługę. Poczekaj, aż Usługi certyfikatów Active Directory zatrzymana.

  8. Kliknij prawym przyciskiem myszy pozycję contoso-CORPCA-CA,wskaż polecenie Wszystkie zadania,a następnie kliknij polecenie Uruchom usługę.

  9. Zminimalizuj konsolę Urząd certyfikacji.

  10. W narzędziach administracyjnychotwórz Podgląd zdarzeń.

  11. W drzewie konsoli rozwiń pozycję Dzienniki aplikacji i usług,a następnie kliknij pozycję Zarządzanie certyfikatami programu FIM.

  12. Na liście zdarzeń sprawdź, czy najnowsze zdarzenia nie zawierają żadnych zdarzeń ostrzeżenia lub błędu od czasu ostatniego uruchomienia usług certyfikatów.

    Uwaga

    Ostatnie zdarzenie powinno oznaczać, że moduł zakończenia został załadowany przy użyciu ustawień z: SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ContosoRootCA\ExitModules\Clm.Exit

  13. Zminimalizuj Podgląd zdarzeń.

Skopiuj odcisk palca certyfikatu MIMCMAgent do Windows® schowka

  1. Przywróć konsolę Urząd certyfikacji.

  2. W drzewie konsoli rozwiń pozycję contoso-CORPCA-CA,a następnie kliknij pozycję Wystawione certyfikaty.

  3. W okienku szczegółów kliknij dwukrotnie certyfikat z contoso\MIMCMAgent w nazwa żądania kolumny i z podpisywania programu FIM CM w szablon certyfikatu kolumny.

  4. Na karcie Szczegóły wybierz pole Odcisk palca.

  5. Wybierz odcisk palca, a następnie naciśnij klawisze CTRL+C.

    Uwaga

    Nie uwzględniaj spacji wiodącej na liście znaków odcisku palca.

  6. W oknie dialogowym Certyfikat kliknij przycisk OK.

  7. W menu Start w polu Wyszukaj programy i pliki wpisz Notatnik , a następnie naciśnij klawisz ENTER.

  8. W Notatnik menu Edit (Edycja) kliknij pozycję Paste (Wklej).

  9. W menu Edycja kliknij pozycję Zamień.

  10. W polu Znajdź co wpisz znak spacji, a następnie kliknij pozycję Zamień wszystko.

    Uwaga

    Spowoduje to usunięcie wszystkich spacji między znakami w odcisku palca.

  11. W oknie dialogowym Zamienianie kliknij przycisk Anuluj.

  12. Wybierz przekonwertowany odcisk palca,a następnie naciśnij klawisze CTRL+C.

  13. Zamknij Notatnik bez zapisywania zmian.

Konfigurowanie modułu zasad zarządzania konfiguracją w programie FIM

  1. Przywróć konsolę Urząd certyfikacji.

  2. Kliknij prawym przyciskiem myszy pozycję contoso-CORPCA-CA,a następnie kliknij polecenie Właściwości.

  3. W oknie dialogowym właściwości contoso-CORPCA-CA na karcie Moduł zasad kliknij pozycję Właściwości.

    • Na karcie Ogólne upewnij się, że wybrano opcję Przekaż żądania CM inne niż FIM do domyślnego modułu zasad do przetwarzania.

    • Na karcie Certyfikaty podpisywania kliknij pozycję Dodaj.

    • W oknie dialogowym Certyfikat kliknij prawym przyciskiem myszy pole Please specify hex-encoded certificate hash (Określ skrót certyfikatu zakodowany w formacie hex), a następnie kliknij pozycję Paste (Wklej).

    • W oknie dialogowym Certyfikat kliknij przycisk OK.

      Uwaga

      Jeśli przycisk OK nie jest włączony, przypadkowo dołączono ukryty znak do ciągu odcisku palca podczas kopiowania odcisku palca z certyfikatu clmAgent. Powtórz wszystkie kroki, począwszy od zadania 4: skopiuj odcisk palca certyfikatu MIMCMAgent do Windows Schowka w tym ćwiczeniu.

  4. W oknie dialogowym Właściwości konfiguracji upewnij się, że odcisk palca jest widoczny na liście Prawidłowe certyfikaty podpisywania, a następnie kliknij przycisk OK.

  5. W oknie komunikatu Zarządzanie certyfikatami fim kliknij przycisk OK.

  6. W oknie dialogowym contoso-CORPCA-CA Properties (Właściwości urzędu certyfikacji contoso-CORPCA-CA) kliknij przycisk OK.

  7. Kliknij prawym przyciskiem myszy pozycję contoso-CORPCA-CA,wskaż polecenie Wszystkie zadania,a następnie kliknij polecenie Zatrzymaj usługę.

  8. Poczekaj, aż Usługi certyfikatów Active Directory zatrzymana.

  9. Kliknij prawym przyciskiem myszy pozycję contoso-CORPCA-CA,wskaż polecenie Wszystkie zadania,a następnie kliknij polecenie Uruchom usługę.

  10. Zamknij konsolę Urząd certyfikacji.

  11. Zamknij wszystkie otwarte okna, a następnie wyloguj się.

Ostatnim krokiem we wdrożeniu jest upewnienia się, że menedżerowie CONTOSO\MIMCM mogą wdrażać i tworzyć szablony oraz konfigurować system bez konieczności zarządzania schematami i administratorami domeny. Następny skrypt będzie listą ACL uprawnień do szablonów certyfikatów przy użyciu dsacls. Uruchom program przy użyciu konta, które ma pełne uprawnienia do zmiany uprawnień do odczytu i zapisu zabezpieczeń dla każdego istniejącego szablonu certyfikatu w lesie.

Pierwsze kroki: Konfigurowanie punktu połączenia z usługą i uprawnień grupy docelowej delegowanie zarządzania szablonami profilu

  1. Konfigurowanie uprawnień w punkcie połączenia usługi (SCP).

  2. Konfigurowanie zarządzania szablonami profilów delegowanych.

  3. Konfigurowanie uprawnień w punkcie połączenia usługi (SCP). brak skryptu>

  4. Upewnij się, że masz połączenie z serwerem wirtualnym CORPDC.

  5. Zaloguj się jako użytkownik contoso\corpadmin

  6. W narzędziach administracyjnychotwórz Użytkownicy i komputery usługi Active Directory.

  7. W Użytkownicy i komputery usługi Active Directoryw menu Widok upewnij się, że włączono funkcje zaawansowane.

  8. W drzewie konsoli rozwiń pozycję Contoso.comSystemMicrosoftCertificate Lifecycle Manager,a następnie kliknij pozycję CORPCM.

  9. Kliknij prawym przyciskiem myszy pozycję CORPCM,a następnie kliknij pozycję Właściwości.

  10. W oknie dialogowym Właściwości CORPCM na karcie Zabezpieczenia dodaj następujące grupy z odpowiednimi uprawnieniami:

    Group (Grupa) Uprawnienia
    mimcm-Managers Przeczytaj
    polecenie FiM CM Audit FIM CM Enrollment Agent FIM CM Request Enroll FIM CM Request Recover FIM CM Request Renew FIM CM Request Revoke FIM CM Request Unblock Smart Card (Żądanie programu FIM CM Audit
    FIM CM Enrollment Agent FIM CM Request Enroll

    FIM CM Request Recover
    FIM CM Request Renew
    FIM CM Request Revoke
    FIM CM Request Unblock Smart Card)
    mimcm-HelpDesk Odczytywanie żądania odwoływania żądania odwoływania polecenia cmdłowego programu FIM CM Agenta rejestracji w programie


    FIM CM Odblokuj kartę inteligentną
  11. W oknie dialogowym Właściwości KONTROLERA DOMENY CORPDC kliknij przycisk OK.

  12. Pozostaw Użytkownicy i komputery usługi Active Directory otwarte.

Konfigurowanie uprawnień do obiektów użytkownika podrzędnego

  1. Upewnij się, że nadal jesteś w Użytkownicy i komputery usługi Active Directory konsoli.

  2. W drzewie konsoli kliknij prawym przyciskiem myszy pozycję Contoso.com, a następnie kliknij pozycję Właściwości.

  3. Na zabezpieczeń kliknij pozycję Zaawansowane.

  4. W oknie dialogowym Ustawienia Zabezpieczenia zaawansowane dla firmy Contoso kliknij przycisk Dodaj.

  5. W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-Managers,a następnie kliknij przycisk OK.

  6. W wpis uprawnień dla contoso okno dialogowe, na Zastosuj do listy, wybierz opcję obiekty potomne użytkownika, a następnie włączyć Zezwalaj pole wyboru dla następujących uprawnień:

    • Odczytywanie wszystkich właściwości

    • Uprawnienia do odczytu

    • Inspekcja zarządzania programem FIM

    • Agent rejestracji programu FIM CM

    • Rejestrowanie żądania zarządzania programem FIM

    • Odzyskiwanie żądania zarządzania programem FIM

    • Odnawianie żądania zarządzania programem FIM

    • Odwołanie żądania zarządzania certyfikatami w programie FIM

    • Żądanie cmdłowe programu FIM : odblokowywanie karty inteligentnej

  7. W oknie dialogowym Wpis uprawnień dla firmy Contoso kliknij przycisk OK.

  8. W oknie dialogowym Ustawienia Zabezpieczenia zaawansowane dla firmy Contoso kliknij przycisk Dodaj.

  9. W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-HelpDesk,a następnie kliknij przycisk OK.

  10. W wpis uprawnień dla contoso okno dialogowe, na Zastosuj do listy, wybierz opcję obiekty podrzędne użytkownika, a następnie zaznacz zezwalaj pole wyboru dla następujących uprawnień:

    • Odczytywanie wszystkich właściwości

    • Uprawnienia do odczytu

    • Agent rejestracji programu FIM CM

    • Odwołanie żądania zarządzania certyfikatami w programie FIM

    • Żądanie cmdłowe programu FIM : odblokowywanie karty inteligentnej

  11. W oknie dialogowym Wpis uprawnień dla firmy Contoso kliknij przycisk OK.

  12. W oknie dialogowym Ustawienia zabezpieczeniami zaawansowanymi dla firmy Contoso kliknij przycisk OK.

  13. W oknie dialogowym contoso.com właściwości kliknij przycisk OK.

  14. Pozostaw Użytkownicy i komputery usługi Active Directory otwarte.

Konfigurowanie uprawnień do obiektów użytkownika podrzędnego bez skryptu>

  1. Upewnij się, że nadal jesteś w Użytkownicy i komputery usługi Active Directory konsoli.

  2. W drzewie konsoli kliknij prawym przyciskiem myszy pozycję Contoso.com, a następnie kliknij pozycję Właściwości.

  3. Na zabezpieczeń kliknij pozycję Zaawansowane.

  4. W oknie dialogowym Ustawienia Zabezpieczenia zaawansowane dla firmy Contoso kliknij przycisk Dodaj.

  5. W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-Managers,a następnie kliknij przycisk OK.

  6. W wpis uprawnień dla CONTOSO okno dialogowe, na Zastosuj do listy, wybierz opcję obiekty potomne użytkownika, a następnie włączyć Zezwalaj pole wyboru dla następujących uprawnień:

    • Odczytywanie wszystkich właściwości

    • Uprawnienia do odczytu

    • Inspekcja zarządzania programem FIM

    • Agent rejestracji programu FIM CM

    • Rejestrowanie żądania zarządzania programem FIM

    • Odzyskiwanie żądania zarządzania programem FIM

    • Odnawianie żądania zarządzania programem FIM

    • Odwołanie żądania zarządzania certyfikatami w programie FIM

    • Żądanie cmdłowe programu FIM : odblokowywanie karty inteligentnej

  7. W wpis uprawnień dla CONTOSO okno dialogowe, kliknij przycisk OK.

  8. W oknie dialogowym Ustawienia zabezpieczeniami zaawansowanymi dla firmy CONTOSO kliknij przycisk Dodaj.

  9. W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-HelpDesk,a następnie kliknij przycisk OK.

  10. W wpis uprawnień dla CONTOSO okno dialogowe, na Zastosuj do listy, wybierz opcję obiekty podrzędne użytkownika, a następnie zaznacz zezwalaj pole wyboru dla następujących uprawnień:

    • Odczytywanie wszystkich właściwości

    • Uprawnienia do odczytu

    • Agent rejestracji programu FIM CM

    • Odwołanie żądania zarządzania certyfikatami w programie FIM

    • Żądanie cmdłowe programu FIM : odblokowywanie karty inteligentnej

  11. W wpis uprawnień dla contoso okno dialogowe, kliknij przycisk OK.

  12. W oknie dialogowym Ustawienia zabezpieczeniami zaawansowanymi dla firmy Contoso kliknij przycisk OK.

  13. W oknie dialogowym contoso.com właściwości kliknij przycisk OK.

  14. Pozostaw Użytkownicy i komputery usługi Active Directory otwarte.

Drugie kroki: delegowanie skryptu uprawnień zarządzania szablonami certyfikatów >

  • Delegowanie uprawnień w kontenerze Szablony certyfikatów.

  • Delegowanie uprawnień do kontenera OID.

  • Delegowanie uprawnień do istniejących szablonów certyfikatów.

Zdefiniuj uprawnienia w kontenerze Szablony certyfikatów:

  1. Przywróć konsolę Lokacje i usługi Active Directory.

  2. W drzewie konsoli rozwiń pozycję Usługi,rozwiń pozycję Usługi kluczy publicznych,a następnie kliknij pozycję Szablony certyfikatów.

  3. W drzewie konsoli kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów,a następnie kliknij polecenie Deleguj kontrolę.

  4. W Kreatorze delegowania kontroli kliknij przycisk Dalej.

  5. Na stronie Użytkownicy lub grupy kliknij pozycję Dodaj.

  6. W oknie dialogowym Wybieranie użytkowników, komputerów lub grup w polu Wprowadź nazwy obiektów do wybrania wpisz mimcm-Managers,a następnie kliknij przycisk OK.

  7. Na stronie Użytkownicy lub grupy kliknij przycisk Dalej.

  8. Na stronie Zadania do delegowania kliknij pozycję Utwórz zadanie niestandardowedo delegowania, a następnie kliknij przycisk Dalej.

  9. Na stronie Typ obiektu usługi Active Directory upewnij się, że zaznaczono opcję Ten folder, istniejące obiekty w tym folderze i tworzenie nowych obiektów w tym folderze, a następnie kliknij przycisk Dalej.

  10. Na stronie Uprawnienia na liście Uprawnienia zaznacz pole wyboru Pełna kontrola, a następnie kliknij przycisk Dalej.

  11. Na stronie Kończenie pracy Kreatora delegowania kontroli kliknij przycisk Zakończ.

Zdefiniuj uprawnienia do kontenera OID:

  1. W drzewie konsoli kliknij prawym przyciskiem myszy pozycję OID,a następnie kliknij pozycję Właściwości.

  2. W oknie dialogowym Właściwości OID na karcie Zabezpieczenia kliknij pozycję Zaawansowane.

  3. W oknie dialogowym Ustawienia Zabezpieczeń zaawansowanych dla OID kliknij przycisk Dodaj.

  4. W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-Managers,a następnie kliknij przycisk OK.

  5. W wpis uprawnień dla OID okno dialogowe, upewnij się, że uprawnienia mają zastosowanie do tego obiektu i wszystkich obiektów potomnych, kliknij przycisk pełna kontrola, a następnie kliknij przycisk OK.

  6. W oknie dialogowym Ustawienia Security Ustawienia for OID kliknij przycisk OK.

  7. W oknie dialogowym Właściwości OID kliknij przycisk OK.

  8. Zamknij lokacje i usługi Active Directory.

Skrypty: uprawnienia w kontenerze szablonów certyfikatów szablonu profilu OID

Diagram

import-module activedirectory
$adace = @{
"OID" = "AD:\\CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"CT" = "AD:\\CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"PT" = "AD:\\CN=Profile Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com"
}
$adace.GetEnumerator() | **Foreach-Object** {
$acl = **Get-Acl** *-Path* $_.Value
$sid=(**Get-ADGroup** "MIMCM-Managers").SID
$p = **New-Object** System.Security.Principal.SecurityIdentifier($sid)
##https://msdn.microsoft.com/library/system.directoryservices.activedirectorysecurityinheritance(v=vs.110).aspx
$ace = **New-Object** System.DirectoryServices.ActiveDirectoryAccessRule
($p,[System.DirectoryServices.ActiveDirectoryRights]"GenericAll",[System.Security.AccessControl.AccessControlType]::Allow,
[DirectoryServices.ActiveDirectorySecurityInheritance]::All)
$acl.AddAccessRule($ace)
**Set-Acl** *-Path* $_.Value *-AclObject* $acl
}

Skrypty: delegowanie uprawnień do istniejących szablonów certyfikatów.

Diagram

dsacls "CN=Administrator,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CAExchange,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CEPEncryption,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ClientAuth,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CodeSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CrossCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CTLSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DirectoryEmailReplication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DomainController,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DomainControllerAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EFS,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EFSRecovery,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EnrollmentAgentOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ExchangeUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ExchangeUserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMKeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=IPSecIntermediateOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=IPSecIntermediateOnline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=KerberosAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=KeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=Machine,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=MachineEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=OCSPResponseSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=OfflineRouter,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=RASAndIASServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SmartCardLogon,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SmartCardUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SubCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=User,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=UserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=WebServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=Workstation,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO