Wdrażanie menedżera certyfikatów Microsoft Identity Manager 2016 (MENEDŻER MIM)

Instalacja programu Microsoft Identity Manager Certificate Manager 2016 (MIM CM) obejmuje kilka kroków. Jako sposób na uproszczenie procesu, który rozbijamy. Przed wykonaniem rzeczywistych kroków zarządzania programem MIM należy wykonać wstępne kroki. Bez wstępnej pracy instalacja może zakończyć się niepowodzeniem.

Na poniższym diagramie przedstawiono przykład typu środowiska, którego można użyć. Systemy z liczbami znajdują się na liście poniżej diagramu i są wymagane do pomyślnego wykonania kroków opisanych w tym artykule. Na koniec używane są serwery datacenter systemu Windows 2016:

Diagram środowiska

  1. CORPDC — kontroler domeny
  2. CORPCM — serwer cm programu MIM
  3. CORPCA — urząd certyfikacji
  4. CORPCMR — internet interfejsu API REST programu MIM — portal ZARZĄDZANIA dla interfejsu API REST — używany do późniejszego użycia
  5. CORPSQL1 — SQL 2016 SP1
  6. CORPWK1 — przyłączone do domeny Windows 10

Omówienie wdrażania

  • Instalacja podstawowego systemu operacyjnego

    Laboratorium składa się z serwerów z systemem Windows 2016 Datacenter.

    Uwaga

    Aby uzyskać więcej informacji na temat obsługiwanych platform dla programu MIM 2016, zapoznaj się z artykułem zatytułowanym Obsługiwane platformy dla programu MIM 2016.

  1. Kroki przed wdrożeniem

  2. Wdrożenie

Kroki przed wdrożeniem

Kreator konfiguracji cm programu MIM wymaga podania informacji w celu pomyślnego ukończenia.

Diagram przedstawiający środowisko.

Rozszerzanie schematu

Proces rozszerzania schematu jest prosty, ale należy zachować ostrożność ze względu na jego nieodwracalny charakter.

Uwaga

Ten krok wymaga, aby używane konto ma uprawnienia administratora schematu.

  1. Przejdź do lokalizacji nośnika programu MIM i przejdź do folderu \Zarządzanie certyfikatami\x64.

  2. Skopiuj folder Schema do programu CORPDC, a następnie przejdź do niego.

    Zrzut ekranu przedstawiający folder schematu.

  3. Uruchom skrypt resourceForestModifySchema.vbs scenariusz pojedynczego lasu. W scenariuszu lasu zasobów uruchom skrypty:

  4. Uruchom skrypt i po zakończeniu działania skryptu powinien zostać wyświetlony komunikat o powodzeniu.

    Komunikat z informacją o powodzeniu

Schemat w usłudze AD jest teraz rozszerzony na obsługę programu MIM CM.

Tworzenie kont usług i grup

Poniższa tabela zawiera podsumowanie kont i uprawnień wymaganych przez program MIM CM. Możesz zezwolić na automatyczne tworzenie następujących kont przez program MIM CM lub utworzenie ich przed instalacją. Można zmienić rzeczywiste nazwy kont. Jeśli samodzielnie utworzysz konta, rozważ nadanie nazw kontom użytkowników w taki sposób, aby łatwo było dopasować nazwę konta użytkownika do jego funkcji.

Użytkowników:

Zrzut ekranu przedstawiający konta użytkowników z wartościami Nazwa, Typ i Opis.

Zrzut ekranu przedstawiający konta usług z nazwami, typem, opisem i nazwą logowania użytkownika.

Role Nazwa logowania użytkownika
MIM CM Agent Agent MIMCMAgent
Agent odzyskiwania klucza zarządzanego przez program MIM MIMCMKRAgent
Agent autoryzacji programu MIM CM MIMCMAuthAgent
Agent menedżera urzędu certyfikacji programu MIM MIMCMManagerAgent
Agent puli sieci Web cm programu MIM MIMCMWebAgent
Agent rejestracji programu MIM CM MIMCMEnrollAgent
Usługa aktualizacji programu MIM CM MIMCMService
Konto instalacji programu MIM MIMINSTALL
Agent pomocy technicznej CMHelpdesk1-2
Menedżer zarządzania konfiguracją CMManager1-2
Użytkownik subskrybenta CMUser1-2

Grupy:

Role Grupa
Członkowie działu pomocy technicznej cm MIMCM-Helpdesk
Członkowie menedżera zarządzania konfiguracją MIMCM-Managers
Subskrybenci programu CM MIMCM-Subscribers

Powershell: Konta agentów:

import-module activedirectory
## Agent accounts used during setup
$cmagents = @{
"MIMCMKRAgent" = "MIM CM Key Recovery Agent"; 
"MIMCMAuthAgent" = "MIM CM Authorization Agent"
"MIMCMManagerAgent" = "MIM CM CA Manager Agent";
"MIMCMWebAgent" = "MIM CM Web Pool Agent";
"MIMCMEnrollAgent" = "MIM CM Enrollment Agent";
"MIMCMService" = "MIM CM Update Service";
"MIMCMAgent" = "MIM CM Agent";
}
##Groups Used for CM Management
$cmgroups = @{
"MIMCM-Managers" = "MIMCM-Managers"
"MIMCM-Helpdesk" = "MIMCM-Helpdesk"
"MIMCM-Subscribers" = "MIMCM-Subscribers" 
}
##Users Used during testlab
$cmusers = @{
"CMManager1" = "CM Manager1"
"CMManager2" = "CM Manager2"
"CMUser1" = "CM User1"
"CMUser2" = "CM User2"
"CMHelpdesk1" = "CM Helpdesk1"
"CMHelpdesk2" = "CM Helpdesk2"
}

## OU Paths
$aoupath = "OU=Service Accounts,DC=contoso,DC=com" ## Location of Agent accounts
$oupath = "OU=CMLAB,DC=contoso,DC=com" ## Location of Users and Groups for CM Lab


#Create Agents – Update UserprincipalName
$cmagents.GetEnumerator() | Foreach-Object { 
New-ADUser -Name $_.Name -Description $_.Value -UserPrincipalName ($_.Name + "@contoso.com")  -Path $aoupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}


#Create Users
$cmusers.GetEnumerator() | Foreach-Object { 
New-ADUser -Name $_.Name -Description $_.Value -Path $oupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}

Aktualizowanie zasad lokalnych serwera CORPCM dla kont agentów

Nazwa logowania użytkownika Opis i uprawnienia
Agent MIMCMAgent Udostępnia następujące usługi:
— pobiera zaszyfrowane klucze prywatne z urzędu certyfikacji.
— Chroni informacje o numerze PIN karty inteligentnej w bazie danych programu FIM CM.
— Chroni komunikację między programem FIM CM i urzędem certyfikacji.

To konto użytkownika wymaga następujących ustawień kontroli dostępu:
- Zezwalaj na logowanie użytkownika lokalnego .
- Wystawianie certyfikatów i zarządzanie prawem użytkownika.
— Uprawnienie do odczytu i zapisu w folderze temp systemu w następującej lokalizacji: %WINDIR%\Temp.
- Certyfikat podpisu cyfrowego i szyfrowania wystawiony i zainstalowany w magazynie użytkowników.
MIMCMKRAgent Odzyskuje zarchiwizowane klucze prywatne z urzędu certyfikacji. To konto użytkownika wymaga następujących ustawień kontroli dostępu:
- Zezwalaj na logowanie użytkownika lokalnego .
- Członkostwo w lokalnej grupie Administratorzy .
— Rejestrowanie uprawnień do szablonu certyfikatu KeyRecoveryAgent .
— Certyfikat agenta odzyskiwania kluczy jest wystawiany i instalowany w magazynie użytkowników. Certyfikat należy dodać do listy agentów odzyskiwania kluczy w urzędzie certyfikacji.
- Uprawnienia do odczytu i uprawnienia do zapisu w folderze tymczasowym systemu w następującej lokalizacji: %WINDIR%\\Temp.
MIMCMAuthAgent Określa prawa użytkownika i uprawnienia dla użytkowników i grup. To konto użytkownika wymaga następujących ustawień kontroli dostępu:
— członkostwo w grupie domeny Dostęp zgodny z systemem Windows 2000.
— Udzielono uprawnienia użytkownika Generowanie zabezpieczeń .
MIMCMManagerAgent Wykonuje działania związane z zarządzaniem urzędem certyfikacji.
Ten użytkownik musi mieć przypisane uprawnienie Zarządzanie urzędem certyfikacji.
MIMCMWebAgent Udostępnia tożsamość puli aplikacji usług IIS. Program FIM CM jest uruchamiany w ramach procesu programowania aplikacji Microsoft Win32®, który używa poświadczeń tego użytkownika.
To konto użytkownika wymaga następujących ustawień kontroli dostępu:
— członkostwo w lokalnej IIS_WPG, windows 2016 = IIS_IUSRS grupy.
- Członkostwo w lokalnej grupie Administratorzy .
— Udzielono uprawnienia użytkownika Generowanie zabezpieczeń .
- Udzielono ustawy w ramach prawa użytkownika systemu operacyjnego .
— Udzielono prawa użytkownika tokenu na poziomie procesu Zastępowanie .
— Przypisana jako tożsamość puli aplikacji usług IIS CLMAppPool.
— Udzielono uprawnień do odczytu w kluczu rejestruHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CLM\v1.0\Server\WebUser .
— To konto musi być również zaufane w przypadku delegowania.
MIMCMEnrollAgent Wykonuje rejestrację w imieniu użytkownika. To konto użytkownika wymaga następujących ustawień kontroli dostępu:
— certyfikat agenta rejestracji wystawiony i zainstalowany w magazynie użytkowników.
- Zezwalaj na logowanie użytkownika lokalnego .
— Rejestrowanie uprawnień do szablonu certyfikatu agenta rejestracji (lub szablonu niestandardowego, jeśli jest używany).

Tworzenie szablonów certyfikatów dla kont usług programu MIM CM

Trzy konta usług używane przez program MIM CM wymagają certyfikatu, a kreator konfiguracji wymaga podania nazwy szablonów certyfikatów, których należy użyć do żądania certyfikatów dla nich.

Konta usług, które wymagają certyfikatów, to:

  • MIMCMAgent: to konto wymaga certyfikatu użytkownika

  • MIMCMEnrollAgent: to konto wymaga certyfikatu agenta rejestracji

  • MIMCMKRAgent: to konto wymaga certyfikatu agenta odzyskiwania kluczy

Istnieją już szablony w usłudze AD, ale musimy utworzyć własne wersje, aby pracować z programem MIM CM. Ponieważ musimy wprowadzić modyfikację z oryginalnych szablonów punktów odniesienia.

Wszystkie trzy z powyższych kont będą miały podwyższony poziom uprawnień w organizacji i powinny być starannie obsługiwane.

Tworzenie szablonu certyfikatu podpisywania cm programu MIM

  1. W obszarze Narzędzia administracyjne otwórz urząd certyfikacji.

  2. W konsoli Urząd certyfikacji w drzewie konsoli rozwiń węzeł Contoso-CorpCA, a następnie kliknij pozycję Szablony certyfikatów.

  3. Kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij polecenie Zarządzaj.

  4. W konsoli szablonów certyfikatów w okienku szczegółów wybierz i kliknij prawym przyciskiem myszy pozycję Użytkownik, a następnie kliknij polecenie Duplikuj szablon.

  5. W oknie dialogowym Duplikuj szablon wybierz pozycję Windows Server 2003 Enterprise, a następnie kliknij przycisk OK.

    Pokaż wynikowe zmiany

    Uwaga

    Program MIM CM nie współpracuje z certyfikatami na podstawie szablonów certyfikatów w wersji 3. Należy utworzyć szablon certyfikatu systemu Windows Server® 2003 Enterprise (wersja 2). Aby uzyskać więcej informacji, zobacz szczegóły wersji 3 .

  6. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne w polu Nazwa wyświetlana szablonu wpisz podpisywanieprogramu MIM CM. Zmień okres ważności na 2 lata, a następnie wyczyść pole wyboru Publikuj certyfikat w usłudze Active Directory .

  7. Na karcie Obsługa żądań upewnij się, że jest zaznaczone pole wyboru Zezwalaj na eksportowanie klucza prywatnego , a następnie kliknij kartę Kryptografia.

  8. W oknie dialogowym Wybór kryptografii wyłącz rozszerzonego dostawcę kryptograficznego firmy Microsoft w wersji 1.0, włącz usługę Microsoft Enhanced RSA i dostawcę kryptograficznego AES, a następnie kliknij przycisk OK.

  9. Na karcie Nazwa podmiotu wyczyść pola wyboru Uwzględnij nazwę e-mail w nazwie podmiotu i nazwę e-mail .

  10. Na karcie Rozszerzenia na liście Rozszerzenia uwzględnione na tej liście szablonów upewnij się, że wybrano pozycję Zasady aplikacji , a następnie kliknij przycisk Edytuj.

  11. W oknie dialogowym Edytowanie rozszerzenia zasad aplikacji wybierz zarówno system szyfrowania plików, jak i zasady aplikacji Secure Email. Kliknij przycisk Usuń, a następnie kliknij przycisk OK.

  12. Na karcie Zabezpieczenia wykonaj następujące czynności:

    • Usuń administratora.

    • Usuń administratorów domeny.

    • Usuń użytkowników domeny.

    • Przypisz tylko uprawnienia do odczytu i zapisu do administratorów przedsiębiorstwa.

    • Dodaj program MIMCMAgent.

    • Przypisz uprawnienia do odczytu i rejestracji do programu MIMCMAgent.

  13. W oknie dialogowym Właściwości nowego szablonu kliknij przycisk OK.

  14. Pozostaw otwartą konsolę szablonów certyfikatów .

Tworzenie szablonu certyfikatu agenta rejestracji programu MIM CM

  1. W konsoli szablonów certyfikatów w okienku szczegółów wybierz i kliknij prawym przyciskiem myszy pozycję Agent rejestracji, a następnie kliknij polecenie Duplikuj szablon.

  2. W oknie dialogowym Duplikuj szablon wybierz pozycję Windows Server 2003 Enterprise, a następnie kliknij przycisk OK.

  3. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne w polu Nazwa wyświetlana szablonu wpisz AGENT rejestracji programu MIM CM. Upewnij się, że okres ważności wynosi 2 lata.

  4. Na karcie Obsługa żądań włącz opcję Zezwalaj na eksportowanie klucza prywatnego, a następnie kliknij pozycję CSP lub kartę Kryptografia.

  5. W oknie dialogowym Wybór dostawcy CSP wyłącz dostawcę kryptograficznego Microsoft Base w wersji 1.0, wyłącz rozszerzonego dostawcę kryptograficznego firmy Microsoft w wersji 1.0, włącz rozszerzonego dostawcę usług kryptograficznych RSA i AES firmy Microsoft, a następnie kliknij przycisk OK.

  6. Na karcie Zabezpieczenia wykonaj następujące czynności:

    • Usuń administratora.

    • Usuń administratorów domeny.

    • Przypisz tylko uprawnienia do odczytu i zapisu do administratorów przedsiębiorstwa.

    • Dodaj program MIMCMEnrollAgent.

    • Przypisz uprawnienia do odczytu i rejestracji do programu MIMCMEnrollAgent.

  7. W oknie dialogowym Właściwości nowego szablonu kliknij przycisk OK.

  8. Pozostaw otwartą konsolę szablonów certyfikatów .

Tworzenie szablonu certyfikatu agenta odzyskiwania kluczy programu MIM

  1. W konsoli Szablony certyfikatów w okienku szczegółów wybierz i kliknij prawym przyciskiem myszy agenta odzyskiwania kluczy, a następnie kliknij polecenie Duplikuj szablon.

  2. W oknie dialogowym Duplikuj szablon wybierz pozycję Windows Server 2003 Enterprise, a następnie kliknij przycisk OK.

  3. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne w polu Nazwa wyświetlana szablonu wpisz MIM CM Key Recovery Agent. Upewnij się, że okres ważności wynosi 2 lata na karcie Kryptografia.

  4. W oknie dialogowym Wybór dostawców wyłącz rozszerzonego dostawcę kryptograficznego firmy Microsoft w wersji 1.0, włącz rozszerzone usługi RSA firmy Microsoft i dostawcę kryptograficznego AES, a następnie kliknij przycisk OK.

  5. Na karcie Wymagania dotyczące wystawiania upewnij się, że zatwierdzenie menedżera certyfikatów urzędu certyfikacji jest wyłączone.

  6. Na karcie Zabezpieczenia wykonaj następujące czynności:

    • Usuń administratora.

    • Usuń administratorów domeny.

    • Przypisz tylko uprawnienia do odczytu i zapisu do administratorów przedsiębiorstwa.

    • Dodaj program MIMCMKRAgent.

    • Przypisz uprawnienia do odczytu i rejestracji do usługi KRAgent.

  7. W oknie dialogowym Właściwości nowego szablonu kliknij przycisk OK.

  8. Zamknij okno Konsola szablonów certyfikatów.

Publikowanie wymaganych szablonów certyfikatów w urzędzie certyfikacji

  1. Przywróć konsolę urzędu certyfikacji .

  2. W konsoli Urząd certyfikacji w drzewie konsoli kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wskaż polecenie Nowy, a następnie kliknij pozycję Szablon certyfikatu do wystawienia.

  3. W oknie dialogowym Włączanie szablonów certyfikatów wybierz pozycję Agent rejestracji cm programu MIM, agent odzyskiwania kluczy programu MIM i podpisywanie programu MIM CM. Kliknij przycisk OK.

  4. W drzewie konsoli kliknij pozycję Szablony certyfikatów.

  5. Sprawdź, czy w okienku szczegółów są wyświetlane trzy nowe szablony, a następnie zamknij urząd certyfikacji.

    Podpisywanie programu MIM CM

  6. Zamknij wszystkie otwarte okna i wyloguj się.

Konfiguracja usług IIS

Aby hostować witrynę internetową cm, zainstaluj i skonfiguruj usługi IIS.

Instalowanie i konfigurowanie usług IIS

  1. Zaloguj się do usługi CORLog na koncie MIMINSTALL

    Ważne

    Konto instalacji programu MIM powinno być administratorem lokalnym

  2. Otwórz program PowerShell i uruchom następujące polecenie

    Install-WindowsFeature –ConfigurationFilePath

Uwaga

Witryna o nazwie Domyślna witryna sieci Web jest instalowana domyślnie z usługami IIS 7. Jeśli nazwa tej witryny została zmieniona lub usunięta z nazwą Domyślna witryna sieci Web musi być dostępna przed zainstalowaniem programu MIM CM.

Konfigurowanie protokołu Kerberos

Konto MIMCMWebAgent będzie uruchamiać portal programu MIM CM. Domyślnie w usługach IIS i w trybie jądra uwierzytelnianie jest domyślnie używane w usługach IIS. Zamiast tego wyłączysz uwierzytelnianie w trybie jądra Kerberos i skonfigurujesz nazwy SPN na koncie MIMCMWebAgent. Niektóre polecenia będą wymagać uprawnień z podwyższonym poziomem uprawnień w usłudze Active Directory i serwerze CORPCM.

Zrzut ekranu przedstawiający wiersz polecenia Windows PowerShell.

#Kerberos settings
#SPN
SETSPN -S http/cm.contoso.com contoso\MIMCMWebAgent
#Delegation for certificate authority
Get-ADUser CONTOSO\MIMCMWebAgent | Set-ADObject -Add @{"msDS-AllowedToDelegateTo"="rpcss/CORPCA","rpcss/CORPCA.contoso.com"}

Aktualizowanie usług IIS w programie CORPCM

Zrzut ekranu przedstawiający Windows PowerShell aktualizacji I S na CORP C M.

add-pssnapin WebAdministration

Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name enabled -Value $true
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useKernelMode -Value $false
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useAppPoolCredentials -Value $true

Uwaga

Musisz dodać rekord A DNS dla "cm.contoso.com" i wskazać adres IP CORPCM

Wymaganie protokołu SSL w portalu programu MIM CM

Zdecydowanie zaleca się wymaganie protokołu SSL w portalu programu MIM CM. Jeśli tego nie zrobisz, kreator wyświetli ci nawet ostrzeżenie.

  1. Rejestrowanie w certyfikacie sieci Web dla cm.contoso.com przypisywania do domyślnej witryny

  2. Otwórz Menedżera usług IIS i przejdź do obszaru Zarządzanie certyfikatami

  3. W widoku funkcji kliknij dwukrotnie pozycję Ustawienia protokołu SSL.

  4. Na stronie Ustawienia protokołu SSL wybierz pozycję Wymagaj protokołu SSL.

  5. W okienku Akcje kliknij przycisk Zastosuj.

Konfiguracja bazy danych CORPSQL dla programu MIM CM

  1. Upewnij się, że masz połączenie z serwerem CORPSQL01.

  2. Upewnij się, że zalogowano się jako administrator bazy danych SQL.

  3. Uruchom następujący skrypt języka T-SQL, aby umożliwić konto CONTOSO\MIMINSTALL utworzenie bazy danych po przejściu do kroku konfiguracji

    Uwaga

    Gdy będziemy gotowi do zakończenia modułu zasad &, musimy wrócić do usługi SQL

    create login [CONTOSO\\MIMINSTALL] from windows;
    exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'dbcreator';
    exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'securityadmin';  
    

Komunikat o błędzie kreatora konfiguracji programu MIM CM

Wdrażanie zarządzania certyfikatami Microsoft Identity Manager 2016

  1. Upewnij się, że masz połączenie z serwerem CORPCM i że konto MIMINSTALL jest członkiem lokalnej grupy administratorów .

  2. Upewnij się, że zalogowano się jako użytkownik Contoso\MIMINSTALL.

  3. Zainstaluj Microsoft Identity Manager 2016 SP1 lub nowszym iso dodatku Service Pack.

  4. Otwórz katalog Zarządzanie certyfikatami\x64 .

  5. W oknie x64 kliknij prawym przyciskiem myszy instalatora, a następnie kliknij polecenie Uruchom jako administrator.

  6. Na stronie Kreator instalacji zarządzania certyfikatami Microsoft Identity Manager — Zapraszamy! kliknij przycisk Dalej.

  7. Na stronie End-User Umowa licencyjna przeczytaj umowę, włącz opcję Akceptuję postanowienia w umowie licencyjnej pole wyboru, a następnie kliknij przycisk Dalej.

  8. Na stronie Konfiguracja niestandardowa upewnij się, że program MIM CM Portal i składniki usługi aktualizacji programu MIM mają być zainstalowane, a następnie kliknij przycisk Dalej.

  9. Na stronie Wirtualny folder sieci Web upewnij się, że nazwa folderu wirtualnego to CertificateManagement, a następnie kliknij przycisk Dalej.

  10. Na stronie Instalowanie zarządzania certyfikatami Microsoft Identity Manager kliknij przycisk Zainstaluj.

  11. Na stronie Ukończono Kreatora konfiguracji zarządzania certyfikatami Microsoft Identity Manager kliknij przycisk Zakończ.

Zrzut ekranu przedstawiający przycisk Zakończ na stronie końcowej kreatora języka C M.

Kreator konfiguracji zarządzania certyfikatami Microsoft Identity Manager 2016

Przed zalogowaniem się do programu CORPCM dodaj program MIMINSTALL do administratorów domeny, administratorów schematu i lokalnej grupy administratorów na potrzeby kreatora konfiguracji. Można to usunąć później po zakończeniu konfiguracji.

Komunikat o błędzie

  1. W menu Start kliknij pozycję Kreator konfiguracji zarządzania certyfikatami. I uruchom jako administrator

  2. Na stronie Kreator konfiguracji — Zapraszamy ! kliknij przycisk Dalej.

  3. Na stronie Konfiguracja urzędu certyfikacji upewnij się, że wybrany urząd certyfikacji to Contoso-CORPCA-CA, upewnij się, że wybrany serwer jest CORPCA.CONTOSO.COM, a następnie kliknij przycisk Dalej.

  4. Na stronie Konfigurowanie bazy danych microsoft® SQL Server ® w polu Nazwa SQL Server wpisz CORPSQL1 włącz pole wyboru Użyj moich poświadczeń do utworzenia bazy danych, a następnie kliknij przycisk Dalej.

  5. Na stronie Ustawienia bazy danych zaakceptuj domyślną nazwę bazy danych FIMCertificateManagement, upewnij się, że jest zaznaczone zintegrowane uwierzytelnianie SQL , a następnie kliknij przycisk Dalej.

  6. Na stronie Konfigurowanie usługi Active Directory zaakceptuj nazwę domyślną podaną dla punktu połączenia z usługą, a następnie kliknij przycisk Dalej.

  7. Na stronie Metoda uwierzytelniania upewnij się, że wybrano opcję Zintegrowane uwierzytelnianie systemu Windows , a następnie kliknij przycisk Dalej.

  8. Na stronie Agenci — program FIM CM wyczyść pole wyboru Użyj ustawień domyślnych programu FIM CM , a następnie kliknij pozycję Konta niestandardowe.

  9. W oknie dialogowym Agenci — MENEDŻER PROGRAMU FIM z wieloma kartami na każdej karcie wpisz następujące informacje:

    • Nazwa użytkownika: aktualizacja

    • Hasło: Has@lo1

    • Potwierdź hasło: Pass@word1

    • Użyj istniejącego użytkownika: włączone

      Uwaga

      Te konta zostały utworzone wcześniej. Upewnij się, że procedury opisane w kroku 8 są powtarzane dla wszystkich sześciu kart konta agenta.

      Konta cm programu MIM

  10. Po zakończeniu wszystkich informacji o koncie agenta kliknij przycisk OK.

  11. Na stronie Agenci — MENEDŻER PROGRAMU MIM kliknij przycisk Dalej.

  12. Na stronie Konfigurowanie certyfikatów serwera włącz następujące szablony certyfikatów:

    • Szablon certyfikatu, który ma być używany dla certyfikatu agenta odzyskiwania klucza odzyskiwania: MIMCMKeyRecoveryAgent.

    • Szablon certyfikatu, który ma być używany dla certyfikatu agenta programu FIM CM: MIMCMSigning.

    • Szablon certyfikatu do użycia dla certyfikatu agenta rejestracji: FIMCMEnrollmentAgent.

  13. Na stronie Konfigurowanie certyfikatów serwera kliknij przycisk Dalej.

  14. Na stronie Konfigurowanie serwera poczty e-mail drukowanie dokumentów w polu Określ nazwę serwera SMTP, którego chcesz użyć do otrzymywania powiadomień dotyczących rejestracji poczty e-mail , a następnie kliknij przycisk Dalej.

  15. Na stronie Wszystko gotowe do skonfigurowania kliknij pozycję Konfiguruj.

  16. W Kreatorze konfiguracji — ostrzeżenie Microsoft Forefront Identity Manager 2010 R2 kliknij przycisk OK, aby potwierdzić, że protokół SSL nie jest włączony w katalogu wirtualnym usług IIS.

    media/image17.png

    Uwaga

    Nie klikaj przycisku Zakończ, dopóki wykonanie kreatora konfiguracji nie zostanie zakończone. Rejestrowanie kreatora można znaleźć tutaj: %programfiles%\Microsoft Forefront Identity Management\2010\Certificate Management\config.log

  17. Kliknij przycisk Finish (Zakończ).

    Zrzut ekranu przedstawiający pomyślne zakończenie pracy kreatora języka C M.

  18. Zamknij wszystkie otwarte okna.

  19. Dodaj https://cm.contoso.com/certificatemanagement do lokalnej strefy intranetowej w przeglądarce.

  20. Odwiedź witrynę z serwera CORPCM https://cm.contoso.com/certificatemanagement

    Zrzut ekranu przedstawiający stronę główną portalu zarządzania certyfikatami Microsoft Identity Manager.

Weryfikowanie usługi izolacji kluczy CNG

  1. W obszarze Narzędzia administracyjne otwórz pozycję Usługi.

  2. W okienku szczegółów kliknij dwukrotnie pozycję Izolacja klucza CNG.

  3. Na karcie Ogólne zmień typ uruchamiania na Automatyczny.

  4. Na karcie Ogólne uruchom usługę, jeśli nie jest w stanie uruchomienia.

  5. Na karcie Ogólne kliknij przycisk OK.

Instalowanie i konfigurowanie modułów urzędu certyfikacji:

W tym kroku zainstalujemy i skonfigurujemy moduły urzędu certyfikacji programu FIM CM w urzędzie certyfikacji.

  1. Konfigurowanie programu FIM CM w celu inspekcji uprawnień użytkowników tylko na potrzeby operacji zarządzania

  2. W oknie C:\Program Files\Microsoft Forefront Identity Manager\2010\Certificate Management\web utwórz kopię web.config nazewnictwa kopiiweb.1.config.

  3. W oknie Sieci Web kliknij prawym przyciskiem myszy Web.config, a następnie kliknij przycisk Otwórz.

    Uwaga

    Plik Web.config jest otwarty w Notatniku

  4. Po otwarciu pliku naciśnij klawisze CTRL+F.

  5. W oknie dialogowym Znajdź i zamień w polu Znajdź co wpisz UseUser, a następnie kliknij przycisk Znajdź dalej trzy razy.

  6. Zamknij okno dialogowe Znajdowanie i zastępowanie .

  7. W wierszu <add key="Clm.RequestSecurity.Flags" value="UseUser,UseGroups" />. Zmień wiersz, aby odczytać <polecenie add key="Clm.RequestSecurity.Flags" value="UseUser" />.

  8. Zamknij plik, zapisując wszystkie zmiany.

  9. Tworzenie konta dla komputera urzędu certyfikacji na serwerze <SQL server bez skryptu>

  10. Upewnij się, że masz połączenie z serwerem CORPSQL01 .

  11. Upewnij się, że zalogowano się jako administrator bazy danych

  12. W menu Start uruchom SQL Server Management Studio.

  13. W oknie dialogowym Łączenie z serwerem w polu Nazwa serwera wpisz CORPSQL01, a następnie kliknij przycisk Połącz.

  14. W drzewie konsoli rozwiń węzeł Zabezpieczenia, a następnie kliknij pozycję Logowania.

  15. Kliknij prawym przyciskiem myszy pozycję Logowania, a następnie kliknij pozycję Nowy identyfikator logowania.

  16. Na stronie Ogólne w polu Nazwa logowania wpisz contoso\CORPCA$. Wybierz pozycję Uwierzytelnianie systemu Windows. Domyślna baza danych to FIMCertificateManagement.

  17. W okienku po lewej stronie wybierz pozycję Mapowanie użytkownika. W okienku po prawej stronie kliknij pole wyboru w kolumnie Mapa obok pozycji FIMCertificateManagement. Na liście roli bazy danych: FIMCertificateManagement włącz rolę clmApp .

  18. Kliknij przycisk OK.

  19. Zamknij SQL Server Management Studio microsoft.

Instalowanie modułów urzędu certyfikacji zarządzania certyfikatami programu FIM w urzędzie certyfikacji

  1. Upewnij się, że masz połączenie z serwerem CORPCA .

  2. W oknach X64 kliknij prawym przyciskiem myszy Setup.exe, a następnie kliknij polecenie Uruchom jako administrator.

  3. Na stronie Kreator instalacji zarządzania certyfikatami Microsoft Identity Manager — Zapraszamy! kliknij przycisk Dalej.

  4. Na stronie Umowa licencyjna użytkownika oprogramowania przeczytaj umowę. Zaznacz pole wyboru Akceptuję warunki umowy licencyjnej , a następnie kliknij przycisk Dalej.

  5. Na stronie Konfiguracja niestandardowa wybierz pozycję Portal programu MIM CM, a następnie kliknij pozycję Ta funkcja nie będzie dostępna.

  6. Na stronie Konfiguracja niestandardowa wybierz pozycję Usługa aktualizacji programu MIM CM, a następnie kliknij pozycję Ta funkcja nie będzie dostępna.

    Uwaga

    Spowoduje to pozostawienie plików urzędu certyfikacji programu MIM jako jedynej funkcji włączonej dla instalacji.

  7. Na stronie Konfiguracja niestandardowa kliknij przycisk Dalej.

  8. Na stronie Instalowanie Microsoft Identity Manager zarządzanie certyfikatami kliknij przycisk Zainstaluj.

  9. Na stronie Ukończono Kreatora instalacji zarządzania certyfikatami Microsoft Identity Manager kliknij przycisk Zakończ.

  10. Zamknij wszystkie otwarte okna.

Konfigurowanie modułu zakończenia programu MIM CM

  1. W obszarze Narzędzia administracyjne otwórz urząd certyfikacji.

  2. W drzewie konsoli kliknij prawym przyciskiem myszy contoso-CORPCA-CA, a następnie kliknij polecenie Właściwości.

  3. Na karcie Exit Module (Moduł zakończenia ) wybierz pozycję FIM CM Exit Module (Moduł zakończenia programu FIM CM), a następnie kliknij pozycję Właściwości.

  4. W polu Określ bazę danych CM parametry połączenia wpisz Limit czasu połączenia =15; Utrwalanie informacji zabezpieczających =True; Zintegrowane zabezpieczenia = sspi; Katalog początkowy=FIMCertificateManagement; Źródło danych = CORPSQL01. Pozostaw włączone pole wyboru Szyfruj parametry połączenia , a następnie kliknij przycisk OK.

  5. W oknie komunikatu Zarządzanie certyfikatami programu Microsoft FIM kliknij przycisk OK.

  6. W oknie dialogowym właściwości contoso-CORPCA-CA kliknij przycisk OK.

  7. Kliknij prawym przyciskiem myszy contoso-CORPCA-CA, wskaż pozycję Wszystkie zadania, a następnie kliknij polecenie Zatrzymaj usługę. Zaczekaj na zatrzymanie usług certyfikatów Active Directory.

  8. Kliknij prawym przyciskiem myszy contoso-CORPCA-CA, wskaż wszystkie zadania, a następnie kliknij przycisk Uruchom usługę.

  9. Zminimalizuj konsolę urzędu certyfikacji .

  10. W obszarze Narzędzia administracyjne otwórz Podgląd zdarzeń.

  11. W drzewie konsoli rozwiń węzeł Dzienniki aplikacji i usług, a następnie kliknij pozycję Zarządzanie certyfikatami programu FIM.

  12. Na liście zdarzeń sprawdź, czy najnowsze zdarzenia nie zawierają żadnych zdarzeń ostrzegawczych ani błędów od czasu ostatniego ponownego uruchomienia usług certyfikatów.

    Uwaga

    Ostatnie zdarzenie powinno oznaczać, że moduł zakończenia załadowany przy użyciu ustawień: SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ContosoRootCA\ExitModules\Clm.Exit

  13. Zminimalizuj Podgląd zdarzeń.

Skopiuj odcisk palca certyfikatu PROGRAMU MIMCMAgent do schowka systemu Windows®

  1. Przywróć konsolę urzędu certyfikacji .

  2. W drzewie konsoli rozwiń węzeł contoso-CORPCA-CA, a następnie kliknij pozycję Wystawione certyfikaty.

  3. W okienku szczegółów kliknij dwukrotnie certyfikat z contoso\MIMCMAgent w kolumnie Nazwa osoby żądającego i z podpisem programu FIM CM w kolumnie Szablon certyfikatu .

  4. Na karcie Szczegóły wybierz pole Odcisk palca.

  5. Wybierz odcisk palca, a następnie naciśnij klawisze CTRL+C.

    Uwaga

    Nie dołączaj spacji wiodącej na liście znaków odcisku palca.

  6. W oknie dialogowym Certyfikat kliknij przycisk OK.

  7. W menu Start w polu Wyszukaj programy i pliki wpisz Notatnik, a następnie naciśnij klawisz ENTER.

  8. W Notatniku w menu Edycja kliknij pozycję Wklej.

  9. W menu Edycja kliknij polecenie Zamień.

  10. W polu Znajdź co wpisz znak spacji, a następnie kliknij pozycję Zamień wszystko.

    Uwaga

    Spowoduje to usunięcie wszystkich spacji między znakami w odcisku palca.

  11. W oknie dialogowym Zamienianie kliknij przycisk Anuluj.

  12. Wybierz przekonwertowany odcisk palca, a następnie naciśnij klawisze CTRL+C.

  13. Zamknij Notatnik bez zapisywania zmian.

Konfigurowanie modułu zasad programu FIM CM

  1. Przywróć konsolę urzędu certyfikacji .

  2. Kliknij prawym przyciskiem myszy pozycję contoso-CORPCA-CA, a następnie kliknij polecenie Właściwości.

  3. W oknie dialogowym właściwości contoso-CORPCA-CA na karcie Moduł zasad kliknij przycisk Właściwości.

    • Na karcie Ogólne upewnij się, że wybrano opcję Przekazywanie żądań cm innych niż FIM do domyślnego modułu zasad przetwarzania .

    • Na karcie Certyfikaty podpisywania kliknij przycisk Dodaj.

    • W oknie dialogowym Certyfikat kliknij prawym przyciskiem myszy pole Skrót certyfikatu zakodowany w formacie szesnastkowym , a następnie kliknij przycisk Wklej.

    • W oknie dialogowym Certyfikat kliknij przycisk OK.

      Uwaga

      Jeśli przycisk OK nie jest włączony, przypadkowo dołączono ukryty znak w ciągu odcisku palca podczas kopiowania odcisku palca z certyfikatu clmAgent. Powtórz wszystkie kroki rozpoczynające się od zadania 4. Skopiuj odcisk palca certyfikatu MIMCMAgent do Schowka systemu Windows w tym ćwiczeniu.

  4. W oknie dialogowym Właściwości konfiguracji upewnij się, że odcisk palca jest wyświetlany na liście Prawidłowe certyfikaty podpisywania , a następnie kliknij przycisk OK.

  5. W oknie komunikatu Zarządzanie certyfikatami programu FIM kliknij przycisk OK.

  6. W oknie dialogowym właściwości contoso-CORPCA-CA kliknij przycisk OK.

  7. Kliknij prawym przyciskiem myszy contoso-CORPCA-CA, wskaż pozycję Wszystkie zadania, a następnie kliknij polecenie Zatrzymaj usługę.

  8. Zaczekaj na zatrzymanie usług certyfikatów Active Directory.

  9. Kliknij prawym przyciskiem myszy contoso-CORPCA-CA, wskaż wszystkie zadania, a następnie kliknij przycisk Uruchom usługę.

  10. Zamknij konsolę urząd certyfikacji .

  11. Zamknij wszystkie otwarte okna, a następnie wyloguj się.

Ostatnim krokiem wdrożenia jest upewnienie się, że menedżerowie CONTOSO\MIMCM-Manager mogą wdrażać i tworzyć szablony oraz konfigurować system bez bycia administratorami schematu i domeny. Następny skrypt będzie ACL uprawnień do szablonów certyfikatów przy użyciu dsacls. Uruchom polecenie z kontem, które ma pełne uprawnienia do zmiany uprawnień odczytu i zapisu zabezpieczeń do każdego istniejącego szablonu certyfikatu w lesie.

Pierwsze kroki: konfigurowanie punktu połączenia usługi i uprawnień grupy docelowej & delegowanie zarządzania szablonami profilów

  1. Skonfiguruj uprawnienia do punktu połączenia z usługą (SCP).

  2. Konfigurowanie zarządzania szablonami profilów delegowanych.

  3. Skonfiguruj uprawnienia do punktu połączenia z usługą (SCP). <brak skryptu>

  4. Upewnij się, że masz połączenie z serwerem wirtualnym CORPDC .

  5. Zaloguj się jako contoso\corpadmin

  6. W obszarze Narzędzia administracyjne otwórz Użytkownicy i komputery usługi Active Directory.

  7. W Użytkownicy i komputery usługi Active Directory w menu Widok upewnij się, że funkcje zaawansowane są włączone.

  8. W drzewie konsoli rozwiń węzeł Contoso.com | System | Microsoft | Certificate Lifecycle Manager, a następnie kliknij pozycję CORPCM.

  9. Kliknij prawym przyciskiem myszy pozycję CORPCM, a następnie kliknij polecenie Właściwości.

  10. W oknie dialogowym Właściwości CORPCM na karcie Zabezpieczenia dodaj następujące grupy z odpowiednimi uprawnieniami:

    Group (Grupa) Uprawnienia
    mimcm-Manager Przeczytaj inspekcję
    programu FIM CM Audit
    FIM CM Enrollment Agent
    FIM CM Request EnrollM CM Request Enroll
    FIM CM Request Recover
    FIM CM Request Renew FIM CM Request Revoke FIM CM Request Unblock Smart Card (Żądanie odwoływanie żądania programu FIM CM odwoływanie

    żądania odblokowywania karty inteligentnej programu FIM CM)
    mimcm-HelpDesk Przeczytaj
    żądanie odwoływanie żądania odblokowywania
    karty inteligentnej programu FIM CM agenta
    rejestracji programu FIM PROGRAMU FIM
  11. W oknie dialogowym Właściwości CORPDC kliknij przycisk OK.

  12. Pozostaw Użytkownicy i komputery usługi Active Directory otwarte.

Konfigurowanie uprawnień do obiektów użytkownika podrzędnego

  1. Upewnij się, że nadal jesteś w konsoli Użytkownicy i komputery usługi Active Directory.

  2. W drzewie konsoli kliknij prawym przyciskiem myszy Contoso.com, a następnie kliknij polecenie Właściwości.

  3. Na zabezpieczeń kliknij pozycję Zaawansowane.

  4. W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla firmy Contoso kliknij przycisk Dodaj.

  5. W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-Manager, a następnie kliknij przycisk OK.

  6. W oknie dialogowym Wpis uprawnień dla firmy Contoso na liście Zastosuj do wybierz pozycję Obiekty użytkownika potomnego , a następnie włącz pole wyboru Zezwalaj dla następujących uprawnień:

    • Odczytywanie wszystkich właściwości

    • Uprawnienia do odczytu

    • Inspekcja programu FIM CM

    • Agent rejestracji programu FIM CM

    • Rejestracja żądań programu FIM CM

    • Odzyskiwanie żądania programu CM programu FIM

    • Odnawianie żądania programu CM programu FIM

    • Odwołanie żądania programu CM programu FIM

    • Żądanie odblokowywania karty inteligentnej programu FIM

  7. W oknie dialogowym Wpis uprawnień dla firmy Contoso kliknij przycisk OK.

  8. W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla firmy Contoso kliknij przycisk Dodaj.

  9. W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-HelpDesk, a następnie kliknij przycisk OK.

  10. W oknie dialogowym Wpis uprawnień dla firmy Contoso na liście Zastosuj do wybierz pozycję Obiekty użytkownika potomnego , a następnie zaznacz pole wyboru Zezwalaj dla następujących uprawnień:

    • Odczytywanie wszystkich właściwości

    • Uprawnienia do odczytu

    • Agent rejestracji programu FIM CM

    • Odwołanie żądania programu CM programu FIM

    • Żądanie odblokowywania karty inteligentnej programu FIM

  11. W oknie dialogowym Wpis uprawnień dla firmy Contoso kliknij przycisk OK.

  12. W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla firmy Contoso kliknij przycisk OK.

  13. W contoso.com Właściwości okno dialogowe, kliknij przycisk OK.

  14. Pozostaw Użytkownicy i komputery usługi Active Directory otwarte.

Konfigurowanie uprawnień do obiektów <użytkownika potomnego bez skryptu>

  1. Upewnij się, że nadal jesteś w konsoli Użytkownicy i komputery usługi Active Directory.

  2. W drzewie konsoli kliknij prawym przyciskiem myszy Contoso.com, a następnie kliknij polecenie Właściwości.

  3. Na zabezpieczeń kliknij pozycję Zaawansowane.

  4. W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla firmy Contoso kliknij przycisk Dodaj.

  5. W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-Manager, a następnie kliknij przycisk OK.

  6. W oknie dialogowym Wpis uprawnień dla firmy CONTOSO na liście Zastosuj do wybierz pozycję Obiekty użytkownika potomnego , a następnie włącz pole wyboru Zezwalaj dla następujących uprawnień:

    • Odczytywanie wszystkich właściwości

    • Uprawnienia do odczytu

    • Inspekcja programu FIM CM

    • Agent rejestracji programu FIM CM

    • Rejestracja żądań programu FIM CM

    • Odzyskiwanie żądania programu CM programu FIM

    • Odnawianie żądania programu CM programu FIM

    • Odwołanie żądania programu CM programu FIM

    • Żądanie odblokowywania karty inteligentnej programu FIM

  7. W oknie dialogowym Wpis uprawnień dla firmy CONTOSO kliknij przycisk OK.

  8. W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla firmy CONTOSO kliknij przycisk Dodaj.

  9. W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-HelpDesk, a następnie kliknij przycisk OK.

  10. W oknie dialogowym Wpis uprawnień dla firmy CONTOSO na liście Zastosuj do wybierz pozycję Obiekty użytkownika potomnego , a następnie zaznacz pole wyboru Zezwalaj dla następujących uprawnień:

    • Odczytywanie wszystkich właściwości

    • Uprawnienia do odczytu

    • Agent rejestracji programu FIM CM

    • Odwołanie żądania programu CM programu FIM

    • Żądanie odblokowywania karty inteligentnej programu FIM

  11. W oknie dialogowym Wpis uprawnień dla firmy contoso kliknij przycisk OK.

  12. W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla firmy Contoso kliknij przycisk OK.

  13. W contoso.com Właściwości okno dialogowe, kliknij przycisk OK.

  14. Pozostaw Użytkownicy i komputery usługi Active Directory otwarte.

Drugie kroki: delegowanie skryptu> uprawnień <do zarządzania szablonami certyfikatów

  • Delegowanie uprawnień do kontenera Szablony certyfikatów.

  • Delegowanie uprawnień do kontenera OID.

  • Delegowanie uprawnień do istniejących szablonów certyfikatów.

Zdefiniuj uprawnienia w kontenerze Szablony certyfikatów:

  1. Przywróć konsolę lokacji i usług usługi Active Directory .

  2. W drzewie konsoli rozwiń węzeł Usługi, rozwiń węzeł Usługi kluczy publicznych, a następnie kliknij pozycję Szablony certyfikatów.

  3. W drzewie konsoli kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij pozycję Deleguj kontrolę.

  4. W Kreatorze delegowania kontrolek kliknij przycisk Dalej.

  5. Na stronie Użytkownicy lub grupy kliknij przycisk Dodaj.

  6. W oknie dialogowym Wybieranie użytkowników, komputerów lub grup w polu Wprowadź nazwy obiektów do wybrania wpisz mimcm-Managers, a następnie kliknij przycisk OK.

  7. Na stronie Użytkownicy lub grupy kliknij przycisk Dalej.

  8. Na stronie Zadania do delegowania kliknij pozycję Utwórz zadanie niestandardowe do delegowania, a następnie kliknij przycisk Dalej.

  9. Na stronie Typ obiektu usługi Active Directory upewnij się, że ten folder, istniejące obiekty w tym folderze i tworzenie nowych obiektów w tym folderze jest zaznaczone, a następnie kliknij przycisk Dalej.

  10. Na stronie Uprawnienia na liście Uprawnienia zaznacz pole wyboru Pełna kontrola , a następnie kliknij przycisk Dalej.

  11. Na stronie Kończenie delegowania Kreatora sterowania kliknij przycisk Zakończ.

Zdefiniuj uprawnienia do kontenera OID:

  1. W drzewie konsoli kliknij prawym przyciskiem myszy pozycję OID, a następnie kliknij polecenie Właściwości.

  2. W oknie dialogowym Właściwości identyfikatora OID na karcie Zabezpieczenia kliknij pozycję Zaawansowane.

  3. W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla identyfikatora OID kliknij przycisk Dodaj.

  4. W oknie dialogowym Wybieranie użytkownika, komputera, konta usługi lub grupy w polu Wprowadź nazwę obiektu do wybrania wpisz mimcm-Manager, a następnie kliknij przycisk OK.

  5. W oknie dialogowym Wpis uprawnień dla identyfikatora OID upewnij się, że uprawnienia mają zastosowanie do tego obiektu i wszystkich obiektów podrzędnych, kliknij pozycję Pełna kontrola, a następnie kliknij przycisk OK.

  6. W oknie dialogowym Ustawienia zabezpieczeń zaawansowanych dla identyfikatora OID kliknij przycisk OK.

  7. W oknie dialogowym Właściwości identyfikatora OID kliknij przycisk OK.

  8. Zamknij witryny i usługi Active Directory.

Skrypty: uprawnienia do kontenera szablonów certyfikatów OID, szablonu profilu &

Zrzut ekranu przedstawiający właściwości szablonów certyfikatów, właściwości we/wy oraz witryny i usługi Active Directory.

import-module activedirectory
$adace = @{
"OID" = "AD:\\CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"CT" = "AD:\\CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"PT" = "AD:\\CN=Profile Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com"
}
$adace.GetEnumerator() | **Foreach-Object** {
$acl = **Get-Acl** *-Path* $_.Value
$sid=(**Get-ADGroup** "MIMCM-Managers").SID
$p = **New-Object** System.Security.Principal.SecurityIdentifier($sid)
##https://msdn.microsoft.com/library/system.directoryservices.activedirectorysecurityinheritance(v=vs.110).aspx
$ace = **New-Object** System.DirectoryServices.ActiveDirectoryAccessRule
($p,[System.DirectoryServices.ActiveDirectoryRights]"GenericAll",[System.Security.AccessControl.AccessControlType]::Allow,
[DirectoryServices.ActiveDirectorySecurityInheritance]::All)
$acl.AddAccessRule($ace)
**Set-Acl** *-Path* $_.Value *-AclObject* $acl
}

Skrypty: delegowanie uprawnień do istniejących szablonów certyfikatów.

Zrzut ekranu przedstawiający Windows PowerShell przedstawiający delegowanie uprawnień.

dsacls "CN=Administrator,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CAExchange,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CEPEncryption,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ClientAuth,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CodeSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CrossCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CTLSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DirectoryEmailReplication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DomainController,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DomainControllerAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EFS,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EFSRecovery,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EnrollmentAgentOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ExchangeUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ExchangeUserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMKeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=IPSecIntermediateOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=IPSecIntermediateOnline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=KerberosAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=KeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=Machine,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=MachineEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=OCSPResponseSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=OfflineRouter,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=RASAndIASServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SmartCardLogon,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SmartCardUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SubCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=User,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=UserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=WebServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=Workstation,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO