Configuration Manager'da sertifika profilleri için sertifika şablonu izinlerini planlama
Uygulama hedefi: Configuration Manager (güncel dalı)
Önemli
Sürüm 2203'den itibaren bu şirket kaynak erişimi özelliği artık desteklenmiyor. Daha fazla bilgi için bkz. Kaynak erişiminin kullanımdan kaldırılması hakkında sık sorulan sorular.
Aşağıdaki bilgiler, Configuration Manager sertifika profillerini dağıtırken kullandığı sertifika şablonları için izinleri yapılandırmayı planlamanıza yardımcı olabilir.
Varsayılan Güvenlik İzinleri ve Dikkat Edilmesi Gerekenler
Configuration Manager kullanıcılar ve cihazlar için sertifika istemek için kullanacağı sertifika şablonları için gereken varsayılan güvenlik izinleri şunlardır:
Ağ Cihazı Kayıt Hizmeti uygulama havuzunun kullandığı hesap için okuma ve kaydetme
Configuration Manager konsolunu çalıştıran hesap için okuma
Bu güvenlik izinleri hakkında daha fazla bilgi için bkz . Sertifika altyapısını yapılandırma.
Bu varsayılan yapılandırmayı kullandığınızda, kullanıcılar ve cihazlar sertifika şablonlarından doğrudan sertifika isteyemez ve tüm isteklerin Ağ Cihazı Kayıt Hizmeti tarafından başlatılması gerekir. Bu, sertifika şablonlarının sertifika Konusu isteğinde Supply ile yapılandırılması gerektiğinden, bu önemli bir kısıtlamadır; başka bir deyişle, yetkisiz bir kullanıcı veya güvenliği aşılmış bir cihaz sertifika isterse kimliğine bürünme riski vardır. Varsayılan yapılandırmada, Ağ Cihazı Kayıt Hizmeti böyle bir istek başlatmalıdır. Ancak, Ağ Cihazı Kayıt Hizmeti'ni çalıştıran hizmet tehlikeye atılırsa bu kimliğe bürünme riski devam eder. Bu riski önlemeye yardımcı olmak için Ağ Cihazı Kayıt Hizmeti ve bu rol hizmetini çalıştıran bilgisayar için tüm en iyi güvenlik uygulamalarını izleyin.
Varsayılan güvenlik izinleri iş gereksinimlerinizi karşılamıyorsa, sertifika şablonlarındaki güvenlik izinlerini yapılandırmak için başka bir seçeneğiniz vardır: Kullanıcılar ve bilgisayarlar için Okuma ve Kaydetme izinleri ekleyebilirsiniz.
Kullanıcılar ve Bilgisayarlar için Okuma ve Kaydetme İzinleri Ekleme
Sertifika yetkilisi (CA) altyapı ekibiniz ayrı bir ekip tarafından yönetiliyorsa ve bu ayrı ekip, kullanıcı isteğinde bulunmak üzere bir sertifika profili göndermeden önce kullanıcıların geçerli bir Active Directory Domain Services hesabına sahip olduğunu doğrulamak Configuration Manager isterse, kullanıcılar ve bilgisayarlar için Okuma ve Kaydetme izinleri eklemek uygun olabilir Sertifika. Bu yapılandırma için, kullanıcıları içeren bir veya daha fazla güvenlik grubu belirtmeniz ve ardından bu gruplara sertifika şablonlarında Okuma ve Kaydetme izinleri vermelisiniz. Bu senaryoda, güvenlik denetimini CA yöneticisi yönetir.
Benzer şekilde, bilgisayar hesapları içeren bir veya daha fazla güvenlik grubu belirtebilir ve bu gruplara sertifika şablonlarında Okuma ve Kaydetme izinleri veebilirsiniz. Bir bilgisayar sertifika profilini etki alanı üyesi olan bir bilgisayara dağıtırsanız, o bilgisayarın bilgisayar hesabına Okuma ve Kaydetme izinleri verilmelidir. Bilgisayar bir etki alanı üyesi değilse bu izinler gerekli değildir. Örneğin, bu bir çalışma grubu bilgisayarı veya kişisel mobil cihazsa.
Bu yapılandırma başka bir güvenlik denetimi kullansa da en iyi yöntem olarak bunu önermeyiz. Bunun nedeni, belirtilen kullanıcıların veya cihazların sahiplerinin Configuration Manager bağımsız olarak sertifika istemesi ve sertifika Konusu için başka bir kullanıcı veya cihazın kimliğine bürünmek için kullanılabilecek değerler sağlamasıdır.
Ayrıca, sertifika isteğinin gerçekleştiği sırada kimliği doğrulanmayacak hesaplar belirtirseniz, sertifika isteği varsayılan olarak başarısız olur. Örneğin, Ağ Cihazı Kayıt Hizmeti'ni çalıştıran sunucu, sertifika kayıt noktası site sistemi sunucusunu içeren orman tarafından güvenilmeyen bir Active Directory ormanındaysa sertifika isteği başarısız olur. Etki alanı denetleyicisinden yanıt alınamadığı için bir hesabın kimliği doğrulanamadıysa, sertifika kayıt noktasını devam etmek üzere yapılandırabilirsiniz. Ancak bu en iyi güvenlik uygulaması değildir.
Sertifika kayıt noktası hesap izinlerini denetleyecek şekilde yapılandırılmışsa ve bir etki alanı denetleyicisi varsa ve kimlik doğrulama isteğini reddederse (örneğin, hesap kilitlenmiş veya silinmişse), sertifika kayıt isteği başarısız olur.
Kullanıcılar ve etki alanı üyesi bilgisayarlar için Okuma ve Kaydetme izinlerini denetlemek için
Sertifika kayıt noktasını barındıran site sistemi sunucusunda, 0 değerine sahip olmak için aşağıdaki DWORD kayıt defteri anahtarını oluşturun: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
Etki alanı denetleyicisinden yanıt alınamadığı için hesabın kimliği doğrulanamadıysa ve izin denetimini atlamak istiyorsanız:
- Sertifika kayıt noktasını barındıran site sistemi sunucusunda, 1 değerine sahip olmak için aşağıdaki DWORD kayıt defteri anahtarını oluşturun: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
Veren CA'da, sertifika şablonunun özelliklerindeki Güvenlik sekmesinde, kullanıcı veya cihaz hesaplarına Okuma ve Kaydetme izinleri vermek için bir veya daha fazla güvenlik grubu ekleyin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin