Wdrażanie menedżera certyfikatów Microsoft Identity Manager 2016 (MENEDŻER MIM)
Instalacja programu Microsoft Identity Manager Certificate Manager 2016 (MIM CM) obejmuje kilka kroków. Jako sposób na uproszczenie procesu, który rozbijamy. Przed wykonaniem rzeczywistych kroków zarządzania programem MIM należy wykonać wstępne kroki. Bez wstępnej pracy instalacja może zakończyć się niepowodzeniem.
Na poniższym diagramie przedstawiono przykład typu środowiska, którego można użyć. Systemy z liczbami znajdują się na liście poniżej diagramu i są wymagane do pomyślnego wykonania kroków opisanych w tym artykule. Na koniec używane są serwery datacenter systemu Windows 2016:
- CORPDC — kontroler domeny
- CORPCM — serwer cm programu MIM
- CORPCA — urząd certyfikacji
- CORPCMR — internet interfejsu API REST programu MIM — portal ZARZĄDZANIA dla interfejsu API REST — używany do późniejszego użycia
- CORPSQL1 — SQL 2016 SP1
- CORPWK1 — przyłączone do domeny Windows 10
Omówienie wdrażania
Instalacja podstawowego systemu operacyjnego
Laboratorium składa się z serwerów z systemem Windows 2016 Datacenter.
Uwaga
Aby uzyskać więcej informacji na temat obsługiwanych platform dla programu MIM 2016, zapoznaj się z artykułem zatytułowanym Obsługiwane platformy dla programu MIM 2016.
Kroki przed wdrożeniem
Tworzenie kont usług
IIS
Konfigurowanie protokołu Kerberos
Kroki związane z bazą danych
Wymagania dotyczące konfiguracji SQL
Uprawnienia bazy danych
Wdrożenie
Kroki przed wdrożeniem
Kreator konfiguracji cm programu MIM wymaga podania informacji w celu pomyślnego ukończenia.
Rozszerzanie schematu
Proces rozszerzania schematu jest prosty, ale należy zachować ostrożność ze względu na jego nieodwracalny charakter.
Uwaga
Ten krok wymaga, aby używane konto ma uprawnienia administratora schematu.
Przejdź do lokalizacji nośnika programu MIM i przejdź do folderu \Zarządzanie certyfikatami\x64.
Skopiuj folder Schema do programu CORPDC, a następnie przejdź do niego.
Uruchom skrypt resourceForestModifySchema.vbs scenariusz pojedynczego lasu. W scenariuszu lasu zasobów uruchom skrypty:
DomainA — użytkownicy zlokalizowani (userForestModifySchema.vbs)
ResourceForestB — lokalizacja instalacji programu CM (resourceForestModifySchema.vbs).
Uwaga
Zmiany schematu są operacją jednokierunkową i wymagają odzyskiwania lasu do wycofywania, dlatego upewnij się, że masz niezbędne kopie zapasowe. Aby uzyskać szczegółowe informacje na temat zmian wprowadzonych w schemacie przez wykonanie tej operacji, zapoznaj się z artykułem Forefront Identity Manager 2010 Certificate Management Schema Changes (Zmiany schematu zarządzania certyfikatami w programie Forefront Identity Manager 2010)
Uruchom skrypt i po zakończeniu działania skryptu powinien zostać wyświetlony komunikat o powodzeniu.
Schemat w usłudze AD jest teraz rozszerzony na obsługę programu MIM CM.
Tworzenie kont usług i grup
Poniższa tabela zawiera podsumowanie kont i uprawnień wymaganych przez program MIM CM. Możesz zezwolić na automatyczne tworzenie następujących kont przez program MIM CM lub utworzenie ich przed instalacją. Można zmienić rzeczywiste nazwy kont. Jeśli samodzielnie utworzysz konta, rozważ nadanie nazw kontom użytkowników w taki sposób, aby łatwo było dopasować nazwę konta użytkownika do jego funkcji.
Użytkowników:
Role | Nazwa logowania użytkownika |
---|---|
MIM CM Agent | Agent MIMCMAgent |
Agent odzyskiwania klucza zarządzanego przez program MIM | MIMCMKRAgent |
Agent autoryzacji programu MIM CM | MIMCMAuthAgent |
Agent menedżera urzędu certyfikacji programu MIM | MIMCMManagerAgent |
Agent puli sieci Web cm programu MIM | MIMCMWebAgent |
Agent rejestracji programu MIM CM | MIMCMEnrollAgent |
Usługa aktualizacji programu MIM CM | MIMCMService |
Konto instalacji programu MIM | MIMINSTALL |
Agent pomocy technicznej | CMHelpdesk1-2 |
Menedżer zarządzania konfiguracją | CMManager1-2 |
Użytkownik subskrybenta | CMUser1-2 |
Grupy:
Role | Grupa |
---|---|
Członkowie działu pomocy technicznej cm | MIMCM-Helpdesk |
Członkowie menedżera zarządzania konfiguracją | MIMCM-Managers |
Subskrybenci programu CM | MIMCM-Subscribers |
Powershell: Konta agentów:
import-module activedirectory
## Agent accounts used during setup
$cmagents = @{
"MIMCMKRAgent" = "MIM CM Key Recovery Agent";
"MIMCMAuthAgent" = "MIM CM Authorization Agent"
"MIMCMManagerAgent" = "MIM CM CA Manager Agent";
"MIMCMWebAgent" = "MIM CM Web Pool Agent";
"MIMCMEnrollAgent" = "MIM CM Enrollment Agent";
"MIMCMService" = "MIM CM Update Service";
"MIMCMAgent" = "MIM CM Agent";
}
##Groups Used for CM Management
$cmgroups = @{
"MIMCM-Managers" = "MIMCM-Managers"
"MIMCM-Helpdesk" = "MIMCM-Helpdesk"
"MIMCM-Subscribers" = "MIMCM-Subscribers"
}
##Users Used during testlab
$cmusers = @{
"CMManager1" = "CM Manager1"
"CMManager2" = "CM Manager2"
"CMUser1" = "CM User1"
"CMUser2" = "CM User2"
"CMHelpdesk1" = "CM Helpdesk1"
"CMHelpdesk2" = "CM Helpdesk2"
}
## OU Paths
$aoupath = "OU=Service Accounts,DC=contoso,DC=com" ## Location of Agent accounts
$oupath = "OU=CMLAB,DC=contoso,DC=com" ## Location of Users and Groups for CM Lab
#Create Agents – Update UserprincipalName
$cmagents.GetEnumerator() | Foreach-Object {
New-ADUser -Name $_.Name -Description $_.Value -UserPrincipalName ($_.Name + "@contoso.com") -Path $aoupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}
#Create Users
$cmusers.GetEnumerator() | Foreach-Object {
New-ADUser -Name $_.Name -Description $_.Value -Path $oupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}
Aktualizowanie zasad lokalnych serwera CORPCM dla kont agentów
Nazwa logowania użytkownika | Opis i uprawnienia |
---|---|
Agent MIMCMAgent | Udostępnia następujące usługi: — pobiera zaszyfrowane klucze prywatne z urzędu certyfikacji. — Chroni informacje o numerze PIN karty inteligentnej w bazie danych programu FIM CM. — Chroni komunikację między programem FIM CM i urzędem certyfikacji. To konto użytkownika wymaga następujących ustawień kontroli dostępu:- Zezwalaj na logowanie użytkownika lokalnego .- Wystawianie certyfikatów i zarządzanie prawem użytkownika. — Uprawnienie do odczytu i zapisu w folderze temp systemu w następującej lokalizacji: %WINDIR%\Temp.- Certyfikat podpisu cyfrowego i szyfrowania wystawiony i zainstalowany w magazynie użytkowników. |
MIMCMKRAgent | Odzyskuje zarchiwizowane klucze prywatne z urzędu certyfikacji. To konto użytkownika wymaga następujących ustawień kontroli dostępu: - Zezwalaj na logowanie użytkownika lokalnego .- Członkostwo w lokalnej grupie Administratorzy . — Rejestrowanie uprawnień do szablonu certyfikatu KeyRecoveryAgent . — Certyfikat agenta odzyskiwania kluczy jest wystawiany i instalowany w magazynie użytkowników. Certyfikat należy dodać do listy agentów odzyskiwania kluczy w urzędzie certyfikacji. - Uprawnienia do odczytu i uprawnienia do zapisu w folderze tymczasowym systemu w następującej lokalizacji: %WINDIR%\\Temp. |
MIMCMAuthAgent | Określa prawa użytkownika i uprawnienia dla użytkowników i grup. To konto użytkownika wymaga następujących ustawień kontroli dostępu: — członkostwo w grupie domeny Dostęp zgodny z systemem Windows 2000. — Udzielono uprawnienia użytkownika Generowanie zabezpieczeń . |
MIMCMManagerAgent | Wykonuje działania związane z zarządzaniem urzędem certyfikacji. Ten użytkownik musi mieć przypisane uprawnienie Zarządzanie urzędem certyfikacji. |
MIMCMWebAgent | Udostępnia tożsamość puli aplikacji usług IIS. Program FIM CM jest uruchamiany w ramach procesu programowania aplikacji Microsoft Win32®, który używa poświadczeń tego użytkownika. To konto użytkownika wymaga następujących ustawień kontroli dostępu: — członkostwo w lokalnej IIS_WPG, windows 2016 = IIS_IUSRS grupy. - Członkostwo w lokalnej grupie Administratorzy .— Udzielono uprawnienia użytkownika Generowanie zabezpieczeń . - Udzielono ustawy w ramach prawa użytkownika systemu operacyjnego . — Udzielono prawa użytkownika tokenu na poziomie procesu Zastępowanie .— Przypisana jako tożsamość puli aplikacji usług IIS CLMAppPool. — Udzielono uprawnień do odczytu w kluczu rejestruHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CLM\v1.0\Server\WebUser . — To konto musi być również zaufane w przypadku delegowania. |
MIMCMEnrollAgent | Wykonuje rejestrację w imieniu użytkownika. To konto użytkownika wymaga następujących ustawień kontroli dostępu: — certyfikat agenta rejestracji wystawiony i zainstalowany w magazynie użytkowników.- Zezwalaj na logowanie użytkownika lokalnego . — Rejestrowanie uprawnień do szablonu certyfikatu agenta rejestracji (lub szablonu niestandardowego, jeśli jest używany). |
Tworzenie szablonów certyfikatów dla kont usług programu MIM CM
Trzy konta usług używane przez program MIM CM wymagają certyfikatu, a kreator konfiguracji wymaga podania nazwy szablonów certyfikatów, których należy użyć do żądania certyfikatów dla nich.
Konta usług, które wymagają certyfikatów, to:
MIMCMAgent: to konto wymaga certyfikatu użytkownika
MIMCMEnrollAgent: to konto wymaga certyfikatu agenta rejestracji
MIMCMKRAgent: to konto wymaga certyfikatu agenta odzyskiwania kluczy
Istnieją już szablony w usłudze AD, ale musimy utworzyć własne wersje, aby pracować z programem MIM CM. Ponieważ musimy wprowadzić modyfikację z oryginalnych szablonów punktów odniesienia.
Wszystkie trzy z powyższych kont będą miały podwyższony poziom uprawnień w organizacji i powinny być starannie obsługiwane.
Tworzenie szablonu certyfikatu podpisywania cm programu MIM
W obszarze Narzędzia administracyjne otwórz urząd certyfikacji.
W konsoli Urząd certyfikacji w drzewie konsoli rozwiń węzeł Contoso-CorpCA, a następnie kliknij pozycję Szablony certyfikatów.
Kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij polecenie Zarządzaj.
W konsoli szablonów certyfikatów w okienku szczegółów wybierz i kliknij prawym przyciskiem myszy pozycję Użytkownik, a następnie kliknij polecenie Duplikuj szablon.
W oknie dialogowym Duplikuj szablon wybierz pozycję Windows Server 2003 Enterprise, a następnie kliknij przycisk OK.
Uwaga
Program MIM CM nie współpracuje z certyfikatami na podstawie szablonów certyfikatów w wersji 3. Należy utworzyć szablon certyfikatu systemu Windows Server® 2003 Enterprise (wersja 2). Aby uzyskać więcej informacji, zobacz szczegóły wersji 3 .
W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne w polu Nazwa wyświetlana szablonu wpisz podpisywanieprogramu MIM CM. Zmień okres ważności na 2 lata, a następnie wyczyść pole wyboru Publikuj certyfikat w usłudze Active Directory .
Na karcie Obsługa żądań upewnij się, że jest zaznaczone pole wyboru Zezwalaj na eksportowanie klucza prywatnego , a następnie kliknij kartę Kryptografia.
W oknie dialogowym Wybór kryptografii wyłącz rozszerzonego dostawcę kryptograficznego firmy Microsoft w wersji 1.0, włącz usługę Microsoft Enhanced RSA i dostawcę kryptograficznego AES, a następnie kliknij przycisk OK.
Na karcie Nazwa podmiotu wyczyść pola wyboru Uwzględnij nazwę e-mail w nazwie podmiotu i nazwę e-mail .
Na karcie Rozszerzenia na liście Rozszerzenia uwzględnione na tej liście szablonów upewnij się, że wybrano pozycję Zasady aplikacji , a następnie kliknij przycisk Edytuj.
W oknie dialogowym Edytowanie rozszerzenia zasad aplikacji wybierz zarówno system szyfrowania plików, jak i zasady aplikacji Secure Email. Kliknij przycisk Usuń, a następnie kliknij przycisk OK.
Na karcie Zabezpieczenia wykonaj następujące czynności:
Usuń administratora.
Usuń administratorów domeny.
Usuń użytkowników domeny.
Przypisz tylko uprawnienia do odczytu i zapisu do administratorów przedsiębiorstwa.
Dodaj program MIMCMAgent.
Przypisz uprawnienia do odczytu i rejestracji do programu MIMCMAgent.
W oknie dialogowym Właściwości nowego szablonu kliknij przycisk OK.
Pozostaw otwartą konsolę szablonów certyfikatów .
Tworzenie szablonu certyfikatu agenta rejestracji programu MIM CM
W konsoli szablonów certyfikatów w okienku szczegółów wybierz i kliknij prawym przyciskiem myszy pozycję Agent rejestracji, a następnie kliknij polecenie Duplikuj szablon.
W oknie dialogowym Duplikuj szablon wybierz pozycję Windows Server 2003 Enterprise, a następnie kliknij przycisk OK.
W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne w polu Nazwa wyświetlana szablonu wpisz AGENT rejestracji programu MIM CM. Upewnij się, że okres ważności wynosi 2 lata.
Na karcie Obsługa żądań włącz opcję Zezwalaj na eksportowanie klucza prywatnego, a następnie kliknij pozycję CSP lub kartę Kryptografia.
W oknie dialogowym Wybór dostawcy CSP wyłącz dostawcę kryptograficznego Microsoft Base w wersji 1.0, wyłącz rozszerzonego dostawcę kryptograficznego firmy Microsoft w wersji 1.0, włącz rozszerzonego dostawcę usług kryptograficznych RSA i AES firmy Microsoft, a następnie kliknij przycisk OK.
Na karcie Zabezpieczenia wykonaj następujące czynności:
Usuń administratora.
Usuń administratorów domeny.
Przypisz tylko uprawnienia do odczytu i zapisu do administratorów przedsiębiorstwa.
Dodaj program MIMCMEnrollAgent.
Przypisz uprawnienia do odczytu i rejestracji do programu MIMCMEnrollAgent.
W oknie dialogowym Właściwości nowego szablonu kliknij przycisk OK.
Pozostaw otwartą konsolę szablonów certyfikatów .
Tworzenie szablonu certyfikatu agenta odzyskiwania kluczy programu MIM
W konsoli Szablony certyfikatów w okienku szczegółów wybierz i kliknij prawym przyciskiem myszy agenta odzyskiwania kluczy, a następnie kliknij polecenie Duplikuj szablon.
W oknie dialogowym Duplikuj szablon wybierz pozycję Windows Server 2003 Enterprise, a następnie kliknij przycisk OK.
W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne w polu Nazwa wyświetlana szablonu wpisz MIM CM Key Recovery Agent. Upewnij się, że okres ważności wynosi 2 lata na karcie Kryptografia.
W oknie dialogowym Wybór dostawców wyłącz rozszerzonego dostawcę kryptograficznego firmy Microsoft w wersji 1.0, włącz rozszerzone usługi RSA firmy Microsoft i dostawcę kryptograficznego AES, a następnie kliknij przycisk OK.
Na karcie Wymagania dotyczące wystawiania upewnij się, że zatwierdzenie menedżera certyfikatów urzędu certyfikacji jest wyłączone.
Na karcie Zabezpieczenia wykonaj następujące czynności:
Usuń administratora.
Usuń administratorów domeny.
Przypisz tylko uprawnienia do odczytu i zapisu do administratorów przedsiębiorstwa.
Dodaj program MIMCMKRAgent.
Przypisz uprawnienia do odczytu i rejestracji do usługi KRAgent.
W oknie dialogowym Właściwości nowego szablonu kliknij przycisk OK.
Zamknij okno Konsola szablonów certyfikatów.
Publikowanie wymaganych szablonów certyfikatów w urzędzie certyfikacji
Przywróć konsolę urzędu certyfikacji .
W konsoli Urząd certyfikacji w drzewie konsoli kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wskaż polecenie Nowy, a następnie kliknij pozycję Szablon certyfikatu do wystawienia.
W oknie dialogowym Włączanie szablonów certyfikatów wybierz pozycję Agent rejestracji cm programu MIM, agent odzyskiwania kluczy programu MIM i podpisywanie programu MIM CM. Kliknij przycisk OK.
W drzewie konsoli kliknij pozycję Szablony certyfikatów.
Sprawdź, czy w okienku szczegółów są wyświetlane trzy nowe szablony, a następnie zamknij urząd certyfikacji.
Zamknij wszystkie otwarte okna i wyloguj się.
Konfiguracja usług IIS
Aby hostować witrynę internetową cm, zainstaluj i skonfiguruj usługi IIS.
Instalowanie i konfigurowanie usług IIS
Zaloguj się do usługi CORLog na koncie MIMINSTALL
Ważne
Konto instalacji programu MIM powinno być administratorem lokalnym
Otwórz program PowerShell i uruchom następujące polecenie
Install-WindowsFeature –ConfigurationFilePath
Uwaga
Witryna o nazwie Domyślna witryna sieci Web jest instalowana domyślnie z usługami IIS 7. Jeśli nazwa tej witryny została zmieniona lub usunięta z nazwą Domyślna witryna sieci Web musi być dostępna przed zainstalowaniem programu MIM CM.
Konfigurowanie protokołu Kerberos
Konto MIMCMWebAgent będzie uruchamiać portal programu MIM CM. Domyślnie w usługach IIS i w trybie jądra uwierzytelnianie jest domyślnie używane w usługach IIS. Zamiast tego wyłączysz uwierzytelnianie w trybie jądra Kerberos i skonfigurujesz nazwy SPN na koncie MIMCMWebAgent. Niektóre polecenia będą wymagać uprawnień z podwyższonym poziomem uprawnień w usłudze Active Directory i serwerze CORPCM.
#Kerberos settings
#SPN
SETSPN -S http/cm.contoso.com contoso\MIMCMWebAgent
#Delegation for certificate authority
Get-ADUser CONTOSO\MIMCMWebAgent | Set-ADObject -Add @{"msDS-AllowedToDelegateTo"="rpcss/CORPCA","rpcss/CORPCA.contoso.com"}
Aktualizowanie usług IIS w programie CORPCM
add-pssnapin WebAdministration
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name enabled -Value $true
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useKernelMode -Value $false
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useAppPoolCredentials -Value $true
Uwaga
Musisz dodać rekord A DNS dla "cm.contoso.com" i wskazać adres IP CORPCM
Wymaganie protokołu SSL w portalu programu MIM CM
Zdecydowanie zaleca się wymaganie protokołu SSL w portalu programu MIM CM. Jeśli tego nie zrobisz, kreator wyświetli ci nawet ostrzeżenie.
Rejestrowanie w certyfikacie sieci Web dla cm.contoso.com przypisywania do domyślnej witryny
Otwórz Menedżera usług IIS i przejdź do obszaru Zarządzanie certyfikatami
W widoku funkcji kliknij dwukrotnie pozycję Ustawienia protokołu SSL.
Na stronie Ustawienia protokołu SSL wybierz pozycję Wymagaj protokołu SSL.
W okienku Akcje kliknij przycisk Zastosuj.
Konfiguracja bazy danych CORPSQL dla programu MIM CM
Upewnij się, że masz połączenie z serwerem CORPSQL01.
Upewnij się, że zalogowano się jako administrator bazy danych SQL.
Uruchom następujący skrypt języka T-SQL, aby umożliwić konto CONTOSO\MIMINSTALL utworzenie bazy danych po przejściu do kroku konfiguracji
Uwaga
Gdy będziemy gotowi do zakończenia modułu zasad &, musimy wrócić do usługi SQL
create login [CONTOSO\\MIMINSTALL] from windows; exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'dbcreator'; exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'securityadmin';
Wdrażanie zarządzania certyfikatami Microsoft Identity Manager 2016
Upewnij się, że masz połączenie z serwerem CORPCM i że konto MIMINSTALL jest członkiem lokalnej grupy administratorów .
Upewnij się, że zalogowano się jako użytkownik Contoso\MIMINSTALL.
Zainstaluj Microsoft Identity Manager 2016 SP1 lub nowszym iso dodatku Service Pack.
Otwórz katalog Zarządzanie certyfikatami\x64 .
W oknie x64 kliknij prawym przyciskiem myszy instalatora, a następnie kliknij polecenie Uruchom jako administrator.
Na stronie Kreator instalacji zarządzania certyfikatami Microsoft Identity Manager — Zapraszamy! kliknij przycisk Dalej.
Na stronie End-User Umowa licencyjna przeczytaj umowę, włącz opcję Akceptuję postanowienia w umowie licencyjnej pole wyboru, a następnie kliknij przycisk Dalej.
Na stronie Konfiguracja niestandardowa upewnij się, że program MIM CM Portal i składniki usługi aktualizacji programu MIM mają być zainstalowane, a następnie kliknij przycisk Dalej.
Na stronie Wirtualny folder sieci Web upewnij się, że nazwa folderu wirtualnego to CertificateManagement, a następnie kliknij przycisk Dalej.
Na stronie Instalowanie zarządzania certyfikatami Microsoft Identity Manager kliknij przycisk Zainstaluj.
Na stronie Ukończono Kreatora konfiguracji zarządzania certyfikatami Microsoft Identity Manager kliknij przycisk Zakończ.
Kreator konfiguracji zarządzania certyfikatami Microsoft Identity Manager 2016
Przed zalogowaniem się do programu CORPCM dodaj program MIMINSTALL do administratorów domeny, administratorów schematu i lokalnej grupy administratorów na potrzeby kreatora konfiguracji. Można to usunąć później po zakończeniu konfiguracji.
W menu Start kliknij pozycję Kreator konfiguracji zarządzania certyfikatami. I uruchom jako administrator
Na stronie Kreator konfiguracji — Zapraszamy ! kliknij przycisk Dalej.
Na stronie Konfiguracja urzędu certyfikacji upewnij się, że wybrany urząd certyfikacji to Contoso-CORPCA-CA, upewnij się, że wybrany serwer jest CORPCA.CONTOSO.COM, a następnie kliknij przycisk Dalej.
Na stronie Konfigurowanie bazy danych microsoft® SQL Server ® w polu Nazwa SQL Server wpisz CORPSQL1 włącz pole wyboru Użyj moich poświadczeń do utworzenia bazy danych, a następnie kliknij przycisk Dalej.
Na stronie Ustawienia bazy danych zaakceptuj domyślną nazwę bazy danych FIMCertificateManagement, upewnij się, że jest zaznaczone zintegrowane uwierzytelnianie SQL , a następnie kliknij przycisk Dalej.
Na stronie Konfigurowanie usługi Active Directory zaakceptuj nazwę domyślną podaną dla punktu połączenia z usługą, a następnie kliknij przycisk Dalej.
Na stronie Metoda uwierzytelniania upewnij się, że wybrano opcję Zintegrowane uwierzytelnianie systemu Windows , a następnie kliknij przycisk Dalej.
Na stronie Agenci — program FIM CM wyczyść pole wyboru Użyj ustawień domyślnych programu FIM CM , a następnie kliknij pozycję Konta niestandardowe.
W oknie dialogowym Agenci — MENEDŻER PROGRAMU FIM z wieloma kartami na każdej karcie wpisz następujące informacje:
Nazwa użytkownika: aktualizacja
Hasło: Has@lo1
Potwierdź hasło: Pass@word1
Użyj istniejącego użytkownika: włączone
Uwaga
Te konta zostały utworzone wcześniej. Upewnij się, że procedury opisane w kroku 8 są powtarzane dla wszystkich sześciu kart konta agenta.
Po zakończeniu wszystkich informacji o koncie agenta kliknij przycisk OK.
Na stronie Agenci — MENEDŻER PROGRAMU MIM kliknij przycisk Dalej.
Na stronie Konfigurowanie certyfikatów serwera włącz następujące szablony certyfikatów:
Szablon certyfikatu, który ma być używany dla certyfikatu agenta odzyskiwania klucza odzyskiwania: MIMCMKeyRecoveryAgent.
Szablon certyfikatu, który ma być używany dla certyfikatu agenta programu FIM CM: MIMCMSigning.
Szablon certyfikatu do użycia dla certyfikatu agenta rejestracji: FIMCMEnrollmentAgent.
Na stronie Konfigurowanie certyfikatów serwera kliknij przycisk Dalej.
Na stronie Konfigurowanie serwera poczty e-mail drukowanie dokumentów w polu Określ nazwę serwera SMTP, którego chcesz użyć do otrzymywania powiadomień dotyczących rejestracji poczty e-mail , a następnie kliknij przycisk Dalej.
Na stronie Wszystko gotowe do skonfigurowania kliknij pozycję Konfiguruj.
W Kreatorze konfiguracji — ostrzeżenie Microsoft Forefront Identity Manager 2010 R2 kliknij przycisk OK, aby potwierdzić, że protokół SSL nie jest włączony w katalogu wirtualnym usług IIS.
Uwaga
Nie klikaj przycisku Zakończ, dopóki wykonanie kreatora konfiguracji nie zostanie zakończone. Rejestrowanie kreatora można znaleźć tutaj: %programfiles%\Microsoft Forefront Identity Management\2010\Certificate Management\config.log
Kliknij przycisk Finish (Zakończ).
Zamknij wszystkie otwarte okna.
Dodaj
https://cm.contoso.com/certificatemanagement
do lokalnej strefy intranetowej w przeglądarce.Odwiedź witrynę z serwera CORPCM
https://cm.contoso.com/certificatemanagement
Weryfikowanie usługi izolacji kluczy CNG
W obszarze Narzędzia administracyjne otwórz pozycję Usługi.
W okienku szczegółów kliknij dwukrotnie pozycję Izolacja klucza CNG.
Na karcie Ogólne zmień typ uruchamiania na Automatyczny.
Na karcie Ogólne uruchom usługę, jeśli nie jest w stanie uruchomienia.
Na karcie Ogólne kliknij przycisk OK.
Instalowanie i konfigurowanie modułów urzędu certyfikacji:
W tym kroku zainstalujemy i skonfigurujemy moduły urzędu certyfikacji programu FIM CM w urzędzie certyfikacji.
Konfigurowanie programu FIM CM w celu inspekcji uprawnień użytkowników tylko na potrzeby operacji zarządzania
W oknie C:\Program Files\Microsoft Forefront Identity Manager\2010\Certificate Management\web utwórz kopię web.config nazewnictwa kopiiweb.1.config.
W oknie Sieci Web kliknij prawym przyciskiem myszy Web.config, a następnie kliknij przycisk Otwórz.
Uwaga
Plik Web.config jest otwarty w Notatniku
Po otwarciu pliku naciśnij klawisze CTRL+F.
W oknie dialogowym Znajdź i zamień w polu Znajdź co wpisz UseUser, a następnie kliknij przycisk Znajdź dalej trzy razy.
Zamknij okno dialogowe Znajdowanie i zastępowanie .
W wierszu <add key="Clm.RequestSecurity.Flags" value="UseUser,UseGroups" />. Zmień wiersz, aby odczytać <polecenie add key="Clm.RequestSecurity.Flags" value="UseUser" />.
Zamknij plik, zapisując wszystkie zmiany.
Tworzenie konta dla komputera urzędu certyfikacji na serwerze <SQL server bez skryptu>
Upewnij się, że masz połączenie z serwerem CORPSQL01 .
Upewnij się, że zalogowano się jako administrator bazy danych
W menu Start uruchom SQL Server Management Studio.
W oknie dialogowym Łączenie z serwerem w polu Nazwa serwera wpisz CORPSQL01, a następnie kliknij przycisk Połącz.
W drzewie konsoli rozwiń węzeł Zabezpieczenia, a następnie kliknij pozycję Logowania.
Kliknij prawym przyciskiem myszy pozycję Logowania, a następnie kliknij pozycję Nowy identyfikator logowania.
Na stronie Ogólne w polu Nazwa logowania wpisz contoso\CORPCA$. Wybierz pozycję Uwierzytelnianie systemu Windows. Domyślna baza danych to FIMCertificateManagement.
W okienku po lewej stronie wybierz pozycję Mapowanie użytkownika. W okienku po prawej stronie kliknij pole wyboru w kolumnie Mapa obok pozycji FIMCertificateManagement. Na liście roli bazy danych: FIMCertificateManagement włącz rolę clmApp .
Kliknij przycisk OK.
Zamknij SQL Server Management Studio microsoft.
Instalowanie modułów urzędu certyfikacji zarządzania certyfikatami programu FIM w urzędzie certyfikacji
Upewnij się, że masz połączenie z serwerem CORPCA .
W oknach X64 kliknij prawym przyciskiem myszy Setup.exe, a następnie kliknij polecenie Uruchom jako administrator.
Na stronie Kreator instalacji zarządzania certyfikatami Microsoft Identity Manager — Zapraszamy! kliknij przycisk Dalej.
Na stronie Umowa licencyjna użytkownika oprogramowania przeczytaj umowę. Zaznacz pole wyboru Akceptuję warunki umowy licencyjnej , a następnie kliknij przycisk Dalej.
Na stronie Konfiguracja niestandardowa wybierz pozycję Portal programu MIM CM, a następnie kliknij pozycję Ta funkcja nie będzie dostępna.
Na stronie Konfiguracja niestandardowa wybierz pozycję Usługa aktualizacji programu MIM CM, a następnie kliknij pozycję Ta funkcja nie będzie dostępna.
Uwaga
Spowoduje to pozostawienie plików urzędu certyfikacji programu MIM jako jedynej funkcji włączonej dla instalacji.
Na stronie Konfiguracja niestandardowa kliknij przycisk Dalej.
Na stronie Instalowanie Microsoft Identity Manager zarządzanie certyfikatami kliknij przycisk Zainstaluj.
Na stronie Ukończono Kreatora instalacji zarządzania certyfikatami Microsoft Identity Manager kliknij przycisk Zakończ.
Zamknij wszystkie otwarte okna.
Konfigurowanie modułu zakończenia programu MIM CM
W obszarze Narzędzia administracyjne otwórz urząd certyfikacji.
W drzewie konsoli kliknij prawym przyciskiem myszy contoso-CORPCA-CA, a następnie kliknij polecenie Właściwości.
Na karcie Exit Module (Moduł zakończenia ) wybierz pozycję FIM CM Exit Module (Moduł zakończenia programu FIM CM), a następnie kliknij pozycję Właściwości.
W polu Określ bazę danych CM parametry połączenia wpisz Limit czasu połączenia =15; Utrwalanie informacji zabezpieczających =True; Zintegrowane zabezpieczenia = sspi; Katalog początkowy=FIMCertificateManagement; Źródło danych = CORPSQL01. Pozostaw włączone pole wyboru Szyfruj parametry połączenia , a następnie kliknij przycisk OK.
W oknie komunikatu Zarządzanie certyfikatami programu Microsoft FIM kliknij przycisk OK.
W oknie dialogowym właściwości contoso-CORPCA-CA kliknij przycisk OK.
Kliknij prawym przyciskiem myszy contoso-CORPCA-CA, wskaż pozycję Wszystkie zadania, a następnie kliknij polecenie Zatrzymaj usługę. Zaczekaj na zatrzymanie usług certyfikatów Active Directory.
Kliknij prawym przyciskiem myszy contoso-CORPCA-CA, wskaż wszystkie zadania, a następnie kliknij przycisk Uruchom usługę.
Zminimalizuj konsolę urzędu certyfikacji .
W obszarze Narzędzia administracyjne otwórz Podgląd zdarzeń.
W drzewie konsoli rozwiń węzeł Dzienniki aplikacji i usług, a następnie kliknij pozycję Zarządzanie certyfikatami programu FIM.
Na liście zdarzeń sprawdź, czy najnowsze zdarzenia nie zawierają żadnych zdarzeń ostrzegawczych ani błędów od czasu ostatniego ponownego uruchomienia usług certyfikatów.
Uwaga
Ostatnie zdarzenie powinno oznaczać, że moduł zakończenia załadowany przy użyciu ustawień:
SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ContosoRootCA\ExitModules\Clm.Exit
Zminimalizuj Podgląd zdarzeń.
Skopiuj odcisk palca certyfikatu PROGRAMU MIMCMAgent do schowka systemu Windows®
Przywróć konsolę urzędu certyfikacji .
W drzewie konsoli rozwiń węzeł contoso-CORPCA-CA, a następnie kliknij pozycję Wystawione certyfikaty.
W okienku szczegółów kliknij dwukrotnie certyfikat z contoso\MIMCMAgent w kolumnie Nazwa osoby żądającego i z podpisem programu FIM CM w kolumnie Szablon certyfikatu .
Na karcie Szczegóły wybierz pole Odcisk palca.
Wybierz odcisk palca, a następnie naciśnij klawisze CTRL+C.
Uwaga
Nie dołączaj spacji wiodącej na liście znaków odcisku palca.
W oknie dialogowym Certyfikat kliknij przycisk OK.
W menu Start w polu Wyszukaj programy i pliki wpisz Notatnik, a następnie naciśnij klawisz ENTER.
W Notatniku w menu Edycja kliknij pozycję Wklej.
W menu Edycja kliknij polecenie Zamień.
W polu Znajdź co wpisz znak spacji, a następnie kliknij pozycję Zamień wszystko.
Uwaga
Spowoduje to usunięcie wszystkich spacji między znakami w odcisku palca.
W oknie dialogowym Zamienianie kliknij przycisk Anuluj.
Wybierz przekonwertowany odcisk palca, a następnie naciśnij klawisze CTRL+C.
Zamknij Notatnik bez zapisywania zmian.
Konfigurowanie modułu zasad programu FIM CM
Przywróć konsolę urzędu certyfikacji .
Kliknij prawym przyciskiem myszy pozycję contoso-CORPCA-CA, a następnie kliknij polecenie Właściwości.
W oknie dialogowym właściwości contoso-CORPCA-CA na karcie Moduł zasad kliknij przycisk Właściwości.
Na karcie Ogólne upewnij się, że wybrano opcję Przekazywanie żądań cm innych niż FIM do domyślnego modułu zasad przetwarzania .
Na karcie Certyfikaty podpisywania kliknij przycisk Dodaj.
W oknie dialogowym Certyfikat kliknij prawym przyciskiem myszy pole Skrót certyfikatu zakodowany w formacie szesnastkowym , a następnie kliknij przycisk Wklej.
W oknie dialogowym Certyfikat kliknij przycisk OK.
Uwaga
Jeśli przycisk OK nie jest włączony, przypadkowo dołączono ukryty znak w ciągu odcisku palca podczas kopiowania odcisku palca z certyfikatu clmAgent. Powtórz wszystkie kroki rozpoczynające się od zadania 4. Skopiuj odcisk palca certyfikatu MIMCMAgent do Schowka systemu Windows w tym ćwiczeniu.
W oknie dialogowym Właściwości konfiguracji upewnij się, że odcisk palca jest wyświetlany na liście Prawidłowe certyfikaty podpisywania , a następnie kliknij przycisk OK.
W oknie komunikatu Zarządzanie certyfikatami programu FIM kliknij przycisk OK.
W oknie dialogowym właściwości contoso-CORPCA-CA kliknij przycisk OK.
Kliknij prawym przyciskiem myszy contoso-CORPCA-CA, wskaż pozycję Wszystkie zadania, a następnie kliknij polecenie Zatrzymaj usługę.
Zaczekaj na zatrzymanie usług certyfikatów Active Directory.
Kliknij prawym przyciskiem myszy contoso-CORPCA-CA, wskaż wszystkie zadania, a następnie kliknij przycisk Uruchom usługę.
Zamknij konsolę urząd certyfikacji .
Zamknij wszystkie otwarte okna, a następnie wyloguj się.
Ostatnim krokiem wdrożenia jest upewnienie się, że menedżerowie CONTOSO\MIMCM-Manager mogą wdrażać i tworzyć szablony oraz konfigurować system bez bycia administratorami schematu i domeny. Następny skrypt będzie ACL uprawnień do szablonów certyfikatów przy użyciu dsacls. Uruchom polecenie z kontem, które ma pełne uprawnienia do zmiany uprawnień odczytu i zapisu zabezpieczeń do każdego istniejącego szablonu certyfikatu w lesie.
Pierwsze kroki: konfigurowanie punktu połączenia usługi i uprawnień grupy docelowej & delegowanie zarządzania szablonami profilów
Skonfiguruj uprawnienia do punktu połączenia z usługą (SCP).
Konfigurowanie zarządzania szablonami profilów delegowanych.
Skonfiguruj uprawnienia do punktu połączenia z usługą (SCP). <brak skryptu>
Upewnij się, że masz połączenie z serwerem wirtualnym CORPDC .
Zaloguj się jako contoso\corpadmin
W obszarze Narzędzia administracyjne otwórz Użytkownicy i komputery usługi Active Directory.
W Użytkownicy i komputery usługi Active Directory w menu Widok upewnij się, że funkcje zaawansowane są włączone.
W drzewie konsoli rozwiń węzeł Contoso.com | System | Microsoft | Certificate Lifecycle Manager, a następnie kliknij pozycję CORPCM.
Kliknij prawym przyciskiem myszy pozycję CORPCM, a następnie kliknij polecenie Właściwości.
W oknie dialogowym Właściwości CORPCM na karcie Zabezpieczenia dodaj następujące grupy z odpowiednimi uprawnieniami:
Group (Grupa) Uprawnienia mimcm-Manager Przeczytaj inspekcję programu FIM CM Audit FIM CM Enrollment Agent FIM CM Request EnrollM CM Request Enroll FIM CM Request Recover FIM CM Request Renew FIM CM Request Revoke FIM CM Request Unblock Smart Card (Żądanie odwoływanie żądania programu FIM CM odwoływanie żądania odblokowywania karty inteligentnej programu FIM CM) mimcm-HelpDesk Przeczytaj żądanie odwoływanie żądania odblokowywania karty inteligentnej programu FIM CM agenta rejestracji programu FIM PROGRAMU FIM W oknie dialogowym Właściwości CORPDC kliknij przycisk OK.
Pozostaw Użytkownicy i komputery usługi Active Directory otwarte.
Konfigurowanie uprawnień do obiektów użytkownika podrzędnego
Upewnij się, że nadal jesteś w konsoli Użytkownicy i komputery usługi Active Directory.
W drzewie konsoli kliknij prawym przyciskiem myszy Contoso.com, a następnie kliknij polecenie Właściwości.
Na zabezpieczeń kliknij pozycję Zaawansowane.
W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla firmy Contoso kliknij przycisk Dodaj.
W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-Manager, a następnie kliknij przycisk OK.
W oknie dialogowym Wpis uprawnień dla firmy Contoso na liście Zastosuj do wybierz pozycję Obiekty użytkownika potomnego , a następnie włącz pole wyboru Zezwalaj dla następujących uprawnień:
Odczytywanie wszystkich właściwości
Uprawnienia do odczytu
Inspekcja programu FIM CM
Agent rejestracji programu FIM CM
Rejestracja żądań programu FIM CM
Odzyskiwanie żądania programu CM programu FIM
Odnawianie żądania programu CM programu FIM
Odwołanie żądania programu CM programu FIM
Żądanie odblokowywania karty inteligentnej programu FIM
W oknie dialogowym Wpis uprawnień dla firmy Contoso kliknij przycisk OK.
W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla firmy Contoso kliknij przycisk Dodaj.
W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-HelpDesk, a następnie kliknij przycisk OK.
W oknie dialogowym Wpis uprawnień dla firmy Contoso na liście Zastosuj do wybierz pozycję Obiekty użytkownika potomnego , a następnie zaznacz pole wyboru Zezwalaj dla następujących uprawnień:
Odczytywanie wszystkich właściwości
Uprawnienia do odczytu
Agent rejestracji programu FIM CM
Odwołanie żądania programu CM programu FIM
Żądanie odblokowywania karty inteligentnej programu FIM
W oknie dialogowym Wpis uprawnień dla firmy Contoso kliknij przycisk OK.
W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla firmy Contoso kliknij przycisk OK.
W contoso.com Właściwości okno dialogowe, kliknij przycisk OK.
Pozostaw Użytkownicy i komputery usługi Active Directory otwarte.
Konfigurowanie uprawnień do obiektów <użytkownika potomnego bez skryptu>
Upewnij się, że nadal jesteś w konsoli Użytkownicy i komputery usługi Active Directory.
W drzewie konsoli kliknij prawym przyciskiem myszy Contoso.com, a następnie kliknij polecenie Właściwości.
Na zabezpieczeń kliknij pozycję Zaawansowane.
W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla firmy Contoso kliknij przycisk Dodaj.
W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-Manager, a następnie kliknij przycisk OK.
W oknie dialogowym Wpis uprawnień dla firmy CONTOSO na liście Zastosuj do wybierz pozycję Obiekty użytkownika potomnego , a następnie włącz pole wyboru Zezwalaj dla następujących uprawnień:
Odczytywanie wszystkich właściwości
Uprawnienia do odczytu
Inspekcja programu FIM CM
Agent rejestracji programu FIM CM
Rejestracja żądań programu FIM CM
Odzyskiwanie żądania programu CM programu FIM
Odnawianie żądania programu CM programu FIM
Odwołanie żądania programu CM programu FIM
Żądanie odblokowywania karty inteligentnej programu FIM
W oknie dialogowym Wpis uprawnień dla firmy CONTOSO kliknij przycisk OK.
W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla firmy CONTOSO kliknij przycisk Dodaj.
W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-HelpDesk, a następnie kliknij przycisk OK.
W oknie dialogowym Wpis uprawnień dla firmy CONTOSO na liście Zastosuj do wybierz pozycję Obiekty użytkownika potomnego , a następnie zaznacz pole wyboru Zezwalaj dla następujących uprawnień:
Odczytywanie wszystkich właściwości
Uprawnienia do odczytu
Agent rejestracji programu FIM CM
Odwołanie żądania programu CM programu FIM
Żądanie odblokowywania karty inteligentnej programu FIM
W oknie dialogowym Wpis uprawnień dla firmy contoso kliknij przycisk OK.
W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla firmy Contoso kliknij przycisk OK.
W contoso.com Właściwości okno dialogowe, kliknij przycisk OK.
Pozostaw Użytkownicy i komputery usługi Active Directory otwarte.
Drugie kroki: delegowanie skryptu> uprawnień <do zarządzania szablonami certyfikatów
Delegowanie uprawnień do kontenera Szablony certyfikatów.
Delegowanie uprawnień do kontenera OID.
Delegowanie uprawnień do istniejących szablonów certyfikatów.
Zdefiniuj uprawnienia w kontenerze Szablony certyfikatów:
Przywróć konsolę lokacji i usług usługi Active Directory .
W drzewie konsoli rozwiń węzeł Usługi, rozwiń węzeł Usługi kluczy publicznych, a następnie kliknij pozycję Szablony certyfikatów.
W drzewie konsoli kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij pozycję Deleguj kontrolę.
W Kreatorze delegowania kontrolek kliknij przycisk Dalej.
Na stronie Użytkownicy lub grupy kliknij przycisk Dodaj.
W oknie dialogowym Wybieranie użytkowników, komputerów lub grup w polu Wprowadź nazwy obiektów do wybrania wpisz mimcm-Managers, a następnie kliknij przycisk OK.
Na stronie Użytkownicy lub grupy kliknij przycisk Dalej.
Na stronie Zadania do delegowania kliknij pozycję Utwórz zadanie niestandardowe do delegowania, a następnie kliknij przycisk Dalej.
Na stronie Typ obiektu usługi Active Directory upewnij się, że ten folder, istniejące obiekty w tym folderze i tworzenie nowych obiektów w tym folderze jest zaznaczone, a następnie kliknij przycisk Dalej.
Na stronie Uprawnienia na liście Uprawnienia zaznacz pole wyboru Pełna kontrola , a następnie kliknij przycisk Dalej.
Na stronie Kończenie delegowania Kreatora sterowania kliknij przycisk Zakończ.
Zdefiniuj uprawnienia do kontenera OID:
W drzewie konsoli kliknij prawym przyciskiem myszy pozycję OID, a następnie kliknij polecenie Właściwości.
W oknie dialogowym Właściwości identyfikatora OID na karcie Zabezpieczenia kliknij pozycję Zaawansowane.
W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla identyfikatora OID kliknij przycisk Dodaj.
W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-Manager, a następnie kliknij przycisk OK.
W oknie dialogowym Wpis uprawnień dla identyfikatora OID upewnij się, że uprawnienia mają zastosowanie do tego obiektu i wszystkich obiektów podrzędnych, kliknij pozycję Pełna kontrola, a następnie kliknij przycisk OK.
W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla identyfikatora OID kliknij przycisk OK.
W oknie dialogowym Właściwości identyfikatora OID kliknij przycisk OK.
Zamknij witryny i usługi Active Directory.
Skrypty: uprawnienia do kontenera szablonów certyfikatów OID, szablonu profilu &
import-module activedirectory
$adace = @{
"OID" = "AD:\\CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"CT" = "AD:\\CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"PT" = "AD:\\CN=Profile Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com"
}
$adace.GetEnumerator() | **Foreach-Object** {
$acl = **Get-Acl** *-Path* $_.Value
$sid=(**Get-ADGroup** "MIMCM-Managers").SID
$p = **New-Object** System.Security.Principal.SecurityIdentifier($sid)
##https://msdn.microsoft.com/library/system.directoryservices.activedirectorysecurityinheritance(v=vs.110).aspx
$ace = **New-Object** System.DirectoryServices.ActiveDirectoryAccessRule
($p,[System.DirectoryServices.ActiveDirectoryRights]"GenericAll",[System.Security.AccessControl.AccessControlType]::Allow,
[DirectoryServices.ActiveDirectorySecurityInheritance]::All)
$acl.AddAccessRule($ace)
**Set-Acl** *-Path* $_.Value *-AclObject* $acl
}
Skrypty: delegowanie uprawnień do istniejących szablonów certyfikatów.
dsacls "CN=Administrator,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CAExchange,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CEPEncryption,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=ClientAuth,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CodeSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CrossCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CTLSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=DirectoryEmailReplication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=DomainController,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=DomainControllerAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=EFS,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=EFSRecovery,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=EnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=EnrollmentAgentOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=ExchangeUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=ExchangeUserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=FIMCMSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=FIMCMEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=FIMCMKeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=IPSecIntermediateOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=IPSecIntermediateOnline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=KerberosAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=KeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=Machine,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=MachineEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=OCSPResponseSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=OfflineRouter,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=RASAndIASServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=SmartCardLogon,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=SmartCardUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=SubCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=User,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=UserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=WebServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=Workstation,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO