部署 Microsoft Identity Manager 憑證管理員 2016 (MIM CM)

發行項
09/14/2023

安裝 Microsoft Identity Manager 憑證管理員 2016 (MIM CM) 包含數個步驟。是簡化細分項目程序的方法。在採取任何實際的 MIM CM 步驟之前，必須先採取幾個預備步驟。沒有預備工作，安裝可能會失敗。

下圖顯示可能使用的環境類型範例。圖表下方的清單中包含編號的系統，且須成功完成本文所述步驟。最後，會使用 Windows 2016 Datacenter 伺服器：

環境圖表

CORPDC – 網域控制站
CORPCM – MIM CM 伺服器
CORPCA – 憑證授權單位
CORPCMR – MIM CM Rest API Web – 適用於 Rest API 的 CM 入口網站 – 稍後使用
CORPSQL1 – SQL 2016 SP1
CORPWK1 – 已加入 Windows 10 網域

部署概觀

安裝基礎作業系統

實驗室是由 Windows 2016 Datacenter 伺服器構成。

注意

如需 MIM 2016 支援平台的詳細資料，請參閱 MIM 2016 支援的平台一文。

預先部署步驟
- 延伸架構
- 建立服務帳戶
- 建立憑證範本
- IIS
- 設定 Kerberos
- 與資料庫相關的步驟
  - SQL 設定需求
  - 資料庫權限
部署

預先部署步驟

MIM CM 設定精靈一路都需要您提供資訊，才能順利完成。

顯示環境的圖表。

延伸架構

延伸架構的程序很簡單，但由於其無法復原的本質必須謹慎。

注意

此步驟要求所用帳戶具有 Schema Admin 權限。

流覽至 MIM 媒體的位置，並流覽至 \Certificate Management\x64 資料夾。
將結構描述資料夾複製到 CORPDC，然後巡覽找到它。
執行指令碼 resourceForestModifySchema.vbs 單一樹系案例。為資源樹系案例執行指令碼：
- DomainA – 使用者所在位置 (userForestModifySchema.vbs)
- ResourceForestB – CM 安裝的位置 (resourceForestModifySchema.vbs)。
  
  注意
  
  結構描述變更是單向作業，需要用樹系復原復原，以確定您有必要的備份。如需執行此作業變更結構描述的詳細資料，請參閱 Forefront Identity Manager 2010 憑證管理結構描述變更一文。
執行指令碼，只要指令碼完成，您就會收到成功訊息。

AD 中的結構描述現在已擴充，可支援 MIM CM。

建立服務帳戶和群組

下表摘要說明 MIM CM 所需的帳戶和權限。您可以讓 MIM CM 自動建立下列帳戶，或您在安裝之前先建立它們。實際的帳戶名稱可以變更。如果是自行建立帳戶，請考慮以容易比對使用者帳戶名稱及其功能的方式，命位使用者帳戶。

Users：

此螢幕快照顯示具有 [名稱]、[類型] 和 [描述] 的用戶帳戶。

顯示名稱、類型、描述和使用者登入名稱的服務帳戶螢幕快照。

角色	使用者登入名稱
MIM CM Agent	MIMCMAgent
MIM CM Key Recovery Agent	MIMCMKRAgent
MIM CM Authorization Agent	MIMCMAuthAgent
MIM CM CA Manager Agent	MIMCMManagerAgent
MIM CM 網路集區代理程式	MIMCMWebAgent
MIM CM 註冊代理程式	MIMCMEnrollAgent
MIM CM 更新服務	MIMCMService
MIM 安裝帳戶	MIMINSTALL
技術支援中心代理程式	CMHelpdesk1-2
CM 管理員	CMManager1-2
訂閱者使用者	CMUser1-2

Groups：

角色	群組
CM 技術服務人員成員	MIMCM-Helpdesk
CM 管理員成員	MIMCM-Managers
CM 訂閱者成員	MIMCM-Subscribers

Powershell：代理程式帳戶：

import-module activedirectory
## Agent accounts used during setup
$cmagents = @{
"MIMCMKRAgent" = "MIM CM Key Recovery Agent"; 
"MIMCMAuthAgent" = "MIM CM Authorization Agent"
"MIMCMManagerAgent" = "MIM CM CA Manager Agent";
"MIMCMWebAgent" = "MIM CM Web Pool Agent";
"MIMCMEnrollAgent" = "MIM CM Enrollment Agent";
"MIMCMService" = "MIM CM Update Service";
"MIMCMAgent" = "MIM CM Agent";
}
##Groups Used for CM Management
$cmgroups = @{
"MIMCM-Managers" = "MIMCM-Managers"
"MIMCM-Helpdesk" = "MIMCM-Helpdesk"
"MIMCM-Subscribers" = "MIMCM-Subscribers" 
}
##Users Used during testlab
$cmusers = @{
"CMManager1" = "CM Manager1"
"CMManager2" = "CM Manager2"
"CMUser1" = "CM User1"
"CMUser2" = "CM User2"
"CMHelpdesk1" = "CM Helpdesk1"
"CMHelpdesk2" = "CM Helpdesk2"
}

## OU Paths
$aoupath = "OU=Service Accounts,DC=contoso,DC=com" ## Location of Agent accounts
$oupath = "OU=CMLAB,DC=contoso,DC=com" ## Location of Users and Groups for CM Lab


#Create Agents – Update UserprincipalName
$cmagents.GetEnumerator() | Foreach-Object { 
New-ADUser -Name $_.Name -Description $_.Value -UserPrincipalName ($_.Name + "@contoso.com")  -Path $aoupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}


#Create Users
$cmusers.GetEnumerator() | Foreach-Object { 
New-ADUser -Name $_.Name -Description $_.Value -Path $oupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}

更新代理程式帳戶的 CORPCM 伺服器本機原則

使用者登入名稱	描述與權限
MIMCMAgent	提供下列服務： - 從 CA 擷取加密的私鑰。 - 保護 FIM CM 資料庫中的智慧卡 PIN 資訊。 - 保護 FIM CM 與 CA 之間的通訊。此用戶帳戶需要下列訪問控制設定： - 允許在本機登入用戶權力。 - 發行和管理憑證用戶權力。 - 系統 Temp 資料夾的讀取和寫入權限位於下列位置： %WINDIR%\Temp。 - 在使用者存放區中核發並安裝的數位簽名和加密憑證。
MIMCMKRAgent	從 CA 復原封存的私密金鑰。此用戶帳戶需要下列訪問控制設定： - 允許在本機登入用戶權力。 - 本機 Administrators 群組中的成員資格。 - 註冊 KeyRecoveryAgent 證書範本的許可權。 - 金鑰復原代理程式憑證會在使用者存放區中發行並安裝。憑證必須新增至 CA 上的金鑰修復代理清單中。 - 下列位置之系統 Temp 資料夾的讀取權限和寫入權限： `%WINDIR%\\Temp.`
MIMCMAuthAgent	判斷使用者權限和使用者和群組的權限。此用戶帳戶需要下列訪問控制設定： - Windows 2000 相容存取網域群組中的成員資格。 - 授與 [產生安全性稽核 ] 用戶權力。
MIMCMManagerAgent	執行 CA 管理活動。此用戶必須獲指派管理 CA 許可權。
MIMCMWebAgent	提供 IIS 應用程式集區的身分識別。 FIM CM 在使用此使用者認證的 Microsoft Win32® 應用程式設計介面程序中執行。此用戶帳戶需要下列訪問控制設定： - 本機 IIS_WPG的成員資格，windows 2016 = IIS_IUSRS 群組。 - 本機 Administrators 群組中的成員資格。 - 授與 [產生安全性稽核 ] 用戶權力。 - 將 Act 授與作為作業系統用戶權力的一部分。 - 授與取代進程層級令牌用戶權力。 - 指派為 IIS 應用程式集區 CLMAppPool 的身分識別。 - 授與 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CLM\v1.0\Server\WebUser 登錄機碼的讀取許可權。 - 此帳戶也必須信任委派。
MIMCMEnrollAgent	以使用者身分執行註冊。此用戶帳戶需要下列訪問控制設定： - 在使用者存放區中核發並安裝的註冊代理程序憑證。 - 允許在本機登入用戶權力。 - 如果) 使用註冊代理程式證書範本， (或自定義範本上註冊許可權。

建立 MIM CM 服務帳戶的憑證範本

MIM CM 使用的三個服務帳戶要求有憑證，而設定精靈要求您提供用來向範本要求憑證的憑證範本名稱。

要求憑證的服務帳戶是：

MIMCMAgent：此帳戶需要使用者憑證
MIMCMEnrollAgent：此帳戶需要註冊代理程式憑證
MIMCMKRAgent：此帳戶需要 Key recovery agent 憑證

AD 中已有範本，但我們需要建立自己的版本，才能使用 MIM CM。因為我們需要修改原始的基礎範本。

上述三個帳戶在您的組織內都會有較高的權限，所以應該謹慎處理。

建立 MIM CM 簽署憑證範本

從 [系統管理工具] 開啟 [憑證授權單位]。
在 [憑證授權單位] 主控台的主控台樹狀目錄中，展開 [Contoso-CorpCA]，然後按一下 [憑證範本]。
在 [憑證範本] 上按一下滑鼠右鍵，然後按一下 [管理]。
在 [憑證範本] 主控台的 [詳細資料] 窗格中，選取並以滑鼠右鍵按一下 [使用者]，然後按一下 [複製範本]。
在 [複製範本] 對話方塊中，選取 [Windows Server 2003 Enterprise]，然後按一下 [確定]。

注意

MIM CM 不適用於以第 3 版憑證範本為基礎的憑證。您必須建立 Windows Server ® 2003 Enterprise (第 2 版) 憑證範本。如需詳細資訊，請參閱 V3 詳細資料。
在 [新範本的內容] 對話方塊的 [一般] 索引標籤的 [範本顯示名稱] 方塊中，鍵入 MIM CM 簽署。將 [有效期間] 變更為 [2 年]，然後清除 [將憑證發佈到 Active Directory] 核取方塊。
在 [處理要求] 索引標籤上，確定已選取 [允許匯出私密金鑰] 核取方塊，然後按一下 [密碼編譯] 索引標籤。
在 [Cryptography Selection] (加密選項) 對話方塊中，停用 [Microsoft Enhanced Cryptographic Provider v1.0]，啟用 [Microsoft Enhanced RSA and AES Cryptographic Provider]，然後按一下 [確定]。
在 [主體名稱] 索引標籤上，清除 [在主體名稱中包含電子郵件名稱] 和 [電子郵件名稱] 核取方塊。
在 [延伸模組] 索引標籤的 [在這個範本中所包含的延伸] 清單中，確定選取 [應用程式原則]，然後按一下 [編輯]。
在 [編輯應用程式原則延伸] 對話方塊中，同時選取 [加密檔案系統] 和 [安全電子郵件] 應用程式原則。按一下 [移除]，然後按一下 [確定]。
在 [ 安全性] 索引 標籤上，執行下列步驟：
- 移除系統管理員。
- 移除 Domain Admins。
- 移除網域使用者。
- 只將讀取和寫入權限指派給 Enterprise Admins。
- 新增 MIMCMAgent。
- 將讀取和註冊權限指派給 MIMCMAgent。
按一下 [新範本的內容] 對話方塊的 [確定]。
讓 [憑證範本] 主控台保持開啟。

建立 MIM CM 註冊代理程式憑證範本

在 [憑證範本] 主控台的 [詳細資料] 窗格中，選取並以滑鼠右鍵按一下 [註冊代理程式]，然後按一下 [複製範本]。
在 [複製範本] 對話方塊中，選取 [Windows Server 2003 Enterprise]，然後按一下 [確定]。
在 [新範本的內容] 對話方塊之 [一般] 索引標籤的 [範本顯示名稱] 方塊中，鍵入 MIM CM 註冊代理程式。請確認 [有效期間] 為 [2 年]。
在 [處理要求] 索引標籤中，啟用 [允許匯出私密金鑰]，然後按一下 [CSP] 或 [密碼編譯] 索引標籤。
在 [CSP 選取] 對話方塊中，停用 [Microsoft Base Cryptographic Provider v1.0]、停用 [Microsoft Enhanced Cryptographic Provider v1.0]、啟用 [Microsoft Enhanced RSA and AES Cryptographic Provider]，然後按一下 [確定]。
在 [安全性] 索引標籤上，執行下列動作：
- 移除系統管理員。
- 移除 Domain Admins。
- 只將讀取和寫入權限指派給 Enterprise Admins。
- 新增 MIMCMEnrollAgent。
- 將讀取和註冊權限指派給 MIMCMEnrollAgent。
按一下 [新範本的內容] 對話方塊的 [確定]。
讓 [憑證範本] 主控台保持開啟。

建立 MIM CM Key Recovery Agent 憑證範本

在 [ 證書範本] 控制台的 [詳細數據 ] 窗格中，選取並以滑鼠右鍵按兩下 [金鑰復原代理程式]，然後按下 [ 複製範本]。
在 [複製範本] 對話方塊中，選取 [Windows Server 2003 Enterprise]，然後按一下 [確定]。
在 [新範本的內容] 對話方塊的 [一般] 索引標籤的 [範本顯示名稱] 方塊中，鍵入 MIM CM Key Recovery Agent。請確認 [密碼編譯] 索引標籤上的 [有效期間] 為 [2 年]。
在 [Providers Selection] (提供者選項) 對話方塊中，停用 [Microsoft Enhanced Cryptographic Provider v1.0]，啟用 [Microsoft Enhanced RSA and AES Cryptographic Provider]，然後按一下 [確定]。
確定 [發行需求] 索引標籤上的 [CA 憑證管理員核准] 為 [停用]。
在 [安全性] 索引標籤上，執行下列動作：
- 移除系統管理員。
- 移除 Domain Admins。
- 只將讀取和寫入權限指派給 Enterprise Admins。
- 新增 MIMCMKRAgent。
- 將讀取和註冊權限指派給 KRAgent。
按一下 [新範本的內容] 對話方塊的 [確定]。
關閉 [憑證範本主控台]。

發佈憑證授權單位上的必要憑證範本

還原 [憑證授權單位] 主控台。
在 [憑證授權單位] 主控台的主控台樹狀目錄中，以滑鼠右鍵按一下 [憑證範本]，指向 [新增]，然後按一下 [要發出的憑證範本]。
在 [啟用憑證範本] 對話方塊中，選取 [MIM CM 註冊代理程式]、[MIM CM Key Recovery Agent] 和 [MIM CM 簽署]。按一下 [確定]。
在主控台樹狀目錄中，按一下 [憑證範本]。
確認三份新範本出現在 [詳細資料] 窗格中，然後關閉 [憑證授權單位]。
關閉所有已開啟的視窗並登出。

IIS 設定

為裝載 CM 的網站，請安裝並設定 IIS。

安裝及設定 IIS

以 MIMINSTALL 帳戶身分登入 CORLog in

重要

MIM 安裝帳戶應該是本機系統管理員
開啟 PowerShell 並執行下列命令

Install-WindowsFeature –ConfigurationFilePath

注意

預設使用 IIS 7 安裝名為 Default Web Site 的網站。如已重新命名或移除該網站，則必須有名為 Default Web Site 的網站，才能安裝 MIM CM。

設定 Kerberos

MIMCMWebAgent 帳戶將會執行 MIM CM 入口網站。預設在 IIS 中及啟動核心模式時，IIS 預設使用驗證。您會停用 Kerberos 核心模式驗證，並改在 MIMCMWebAgent 帳戶設定 SPN。某些命令在作用中的目錄和 CORPCM 伺服器中需要較高的權限。

Windows PowerShell 命令行的螢幕快照。

#Kerberos settings
#SPN
SETSPN -S http/cm.contoso.com contoso\MIMCMWebAgent
#Delegation for certificate authority
Get-ADUser CONTOSO\MIMCMWebAgent | Set-ADObject -Add @{"msDS-AllowedToDelegateTo"="rpcss/CORPCA","rpcss/CORPCA.contoso.com"}

更新 CORPCM 上的 IIS

Windows PowerShell 更新 CORP C M 上 I S 的螢幕快照。

add-pssnapin WebAdministration

Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name enabled -Value $true
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useKernelMode -Value $false
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useAppPoolCredentials -Value $true

注意

您需要新增 “cm.contoso.com” 的 DNS A 記錄，並指向 CORPCM IP。

在 MIM CM 入口網站上要求 SSL

強烈建議您在 MIM CM 入口網站上要求 SSL。如不要求，精靈甚至會警告您。

cm.contoso.com Web 憑證中的註冊會指派給預設網站
開啟 [IIS 管理員] 並巡覽至 [憑證管理]
在 [功能檢視] 中，按兩下 [SSL 設定]。
在 [SSL 設定] 頁面上，選取 [需要 SSL]。
在 [動作] 窗格中，按兩下 [ 套用]。

MIM CM 的資料庫設定 CORPSQL

確定您已連線到 CORPSQL01 伺服器。
確定您已以 SQL DBA 身分登入。

執行下列 T-SQL 腳本，以允許 CONTOSO\MIMINSTALL 帳戶在移至設定步驟時建立資料庫

注意

準備好結束和原則模組後，我們需要回到 SQL。

create login [CONTOSO\\MIMINSTALL] from windows;
exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'dbcreator';
exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'securityadmin';

MIM CM 設定精靈錯誤訊息

部署 Microsoft Identity Manager 2016 憑證管理員

請確定您已連線到 CORPCM 伺服器，且 MIMINSTALL 帳戶是本機系統管理員群組的成員。
請確定您已以 Contoso\MIMINSTALL 身分登入。
掛接 Microsoft Identity Manager 2016 SP1 或更新版本的 Service Pack ISO。
開啟憑證管理\x64 目錄。
在 x64 視窗中，以滑鼠右鍵按一下安裝程式，然後按一下 [以系統管理員身分執行]。
在 [歡迎使用 Microsoft Identity Manager 憑證管理安裝精靈] 頁面上，按 [下一步]。
在 [使用者授權合約] 頁面上，閱讀授權條款，啟用 [我接受授權合約中的條款] 核取方塊，然後按一下 [下一步]。
在 [自訂安裝程式] 頁面上，確定 [MIM CM 入口網站] 和 [MIM CM 更新服務元件] 的設定為已安裝，然後按一下 [下一步]。
在 [虛擬 Web 資料夾] 頁面上，確認虛擬資料夾名稱為 CertificateManagement，然後按一下 [下一步]。
在 [安裝 Microsoft Identity Manager 憑證管理] 頁面上，按一下 [安裝]。
在 [完成 Microsoft Identity Manager 憑證管理安裝精靈] 頁面上，按兩下 [完成]。

顯示 C M 精靈最終頁面上 [完成] 按鈕的螢幕快照。

Microsoft Identity Manager 2016 憑證管理員設定精靈

請先將 MIMINSTALL 新增至設定精靈的 Domain Admins、Schema Admins 和本機系統管理員群組，再登入 CORPCM。這可於設定完成後移除。

錯誤訊息

從 [開始] 功能表上，按一下 [憑證管理設定精靈]。以系統管理員身分執行
按一下 [歡迎使用設定精靈] 頁面上的 [下一步]。
在 [ CA 組態 ] 頁面上，確定選取的 CA 為 Contoso-CORPCA-CA，確定選取的伺服器 CORPCA.CONTOSO.COM，然後按 [ 下一步]。
在 [Set up the Microsoft® SQL Server® Database] (設定 Microsoft® SQL Server® 資料庫) 頁面的 [SQL Server 的名稱] 方塊中，鍵入 CORPSQL1，啟用 [使用我的認證來建立資料庫] 核取方塊，然後按一下 [下一步]。
在 [資料庫設定] 頁面上，接受預設的 FIMCertificateManagement 資料庫名稱，確認選取 [SQL 整合驗證]，然後按一下 [下一步]。
在 [設定 Active Directory] 頁面上，接受為服務連接點提供的預設名稱，然後按一下 [下一步]。
在 [驗證方法] 頁面上確認選取 [windows 整合式驗證]，然後按一下 [下一步]。
在 [代理程式 – FIM CM] 頁面上，清除 [使用 FIM CM 預設設定] 核取方塊，然後按一下 [自訂帳戶]。
在 [代理程式 – FIM CM] 多索引標籤對話方塊中，在每個索引標籤中鍵入下列資訊：
- 使用者名稱：Update
- 密碼： Pass@word1
- 確認密碼： Pass@word1
- 使用現有的使用者：[啟用]
  
  注意
  
  已預先建立這些帳戶。請確定這六個代理程式帳戶的索引標籤都重複步驟 8 中的程序。
完成所有代理程式帳戶資訊後，請按一下 [確定]。
在 [代理程式 – MIM CM] 頁面上，按一下 [下一步]。
在 [設定伺服器憑證] 頁面上，啟用下列憑證範本：
- 要用於復原代理 Key Recovery Agent 憑證的憑證範本：MIMCMKeyRecoveryAgent。
- 要用於 FIM CM 代理程式憑證的憑證範本：MIMCMSigning。
- 要用於註冊代理程式憑證的憑證範本：FIMCMEnrollmentAgent。
在 [設定伺服器憑證] 頁面上，按一下 [下一步]。
在 [Setup E-mail Server, Document Printing] (安裝電子郵件伺服器、文件列印) 頁面上，於 [指定要用來寄送註冊通知的 SMTP 伺服器名稱] 方塊中按一下 [下一步]。
在 [ 準備設定] 頁面上，按兩下 [ 設定]。
在 [設定精靈 – Microsoft Forefront Identity Manager 2010 R2] 警告對話方塊中，按一下 [確定] 確認 IIS 虛擬目錄上未啟用 SSL。

注意

設定精靈執行完成前，請勿按一下 [完成] 按鈕。您可以在這裡找到精靈的記錄： %programfiles%\Microsoft Forefront Identity Management\2010\Certificate Management\config.log
按一下 [完成] 。
關閉所有已開啟的視窗。
在您的瀏覽器中，將 https://cm.contoso.com/certificatemanagement 新增至近端內部網路區域。
從伺服器 CORPCM https://cm.contoso.com/certificatemanagement 瀏覽網站

驗證 CNG 金鑰隔離服務

在 [系統管理工具] 中，開啟 [服務]。
在 [詳細資料] 窗格中，按兩下 [CNG 金鑰隔離服務]。
在 [一般] 索引標籤上，將 [啟動類型] 變更為 [自動]。
在 [一般] 索引標籤上，啟動服務，如果它不是處於啟動狀態。
按一下 [一般] 索引標籤上的 [確定]。

安裝和設定 CA 模組：

在此步驟中，我們會在憑證授權單位上安裝及設定 FIM CM CA 模組。

設定 FIM CM 只檢查管理作業的使用者權限
在 C：\Program Files\Microsoft Forefront Identity Manager\2010\Certificate Management\web 視窗中，建立 web.config 將復本命名為web.1.config。
在 [Web] 視窗中，以滑鼠右鍵按一下 Web.config，然後按一下 [開啟]。

注意

Web.config 檔案會在記事本中開啟
檔案開啟時，請按 CTRL+F。
在 [尋找及取代] 對話方塊的 [尋找目標] 方塊中，鍵入 UseUser，然後按三次 [尋找下一個]。
關閉 [尋找及取代] 對話方塊。
您應該在新增 key=“Clm.RequestSecurity.Flags” 值=“UseUser，UseGroups” />行上<。變更行以讀取 <add key=“Clm.RequestSecurity.Flags” value=“UseUser” />。
關閉檔案，儲存所有變更。
在 SQL 伺服器建立 CA 電腦帳戶 <沒有指令碼>
請確定您已連線到 CORPSQL01 伺服器。
確定您已以 DBA 身分登入
從 [開始] 功能表啟動 [SQL Server Management Studio]。
在 [連線到伺服器] 對話方塊的 [伺服器名稱] 方塊中，鍵入 CORPSQL01，然後按一下 [連線]。
在主控台樹狀目錄中，展開 [安全性]，然後按一下 [登入]。
以滑鼠右鍵按兩下 [登入]，然後按兩下 [ 新增登入]。
在 [ 一般 ] 頁面的 [ 登入名稱 ] 方塊中，輸入 contoso\CORPCA$。選取 [Windows 驗證] 。預設資料庫是 FIMCertificateManagement。
在左窗格中，選取 [使用者對應]。在右窗格中，按一下 FIMCertificateManagement 旁邊的 [對應] 資料行核取方塊。在 [資料庫角色成員資格對象: FIMCertificateManagement] 清單中，啟用 clmApp 角色。
按一下 [確定]。
關閉 Microsoft SQL Server Management Studio。

將 FIM CM CA 模組安裝在憑證授權單位

確定您已連線到 CORPCA 伺服器。
在 X64 視窗中，以滑鼠右鍵按一下 Setup.exe，然後按一下 [以系統管理員身分執行]。
在 [歡迎使用 Microsoft Identity Manager 憑證管理安裝精靈] 頁面中，按一下 [下一步]。
閱讀 [使用者授權合約] 頁面上的合約。選取 [我接受授權合約中的條款] 核取方塊，然後按一下 [下一步]。
在 [自訂安裝程式] 頁面上，選取 [MIM CM 入口網站]，然後按一下 [這個功能將無法使用]。
在 [自訂安裝程式] 頁面上，選取 [MIM CM 更新服務]，然後按一下 [這個功能將無法使用]。

注意

這會讓 MIM CM CA 檔案成為安裝唯一啟用的功能。
按一下 [自訂安裝程式] 頁面的 [下一步]。
在 [安裝 Microsoft Identity Manager 憑證管理] 頁面上，按兩下 [安裝]。
在 [完成 Microsoft Identity Manager 憑證管理安裝精靈] 頁面中，按一下 [完成]。
關閉所有已開啟的視窗。

設定 MIM CM 結束模組

從 [系統管理工具] 開啟 [憑證授權單位]。
在控制台樹中，以滑鼠右鍵按兩下 contoso-CORPCA-CA，然後按兩下 [屬性]。
在 [ 結束模組] 索引標籤上，選取 [FIM CM 結束模組]，然後按兩下 [ 內容]。
在 [指定 CM 資料庫連接字串] 方塊中，鍵入 Connect Timeout=15;Persist Security Info=True; Integrated Security=sspi;Initial Catalog=FIMCertificateManagement;Data Source=CORPSQL01。保留 [ 加密連接字串] 複選框，然後按兩下 [ 確定]。
在 [Microsoft FIM Certificate Management] 訊息方塊中，按一下 [確定]。
按一下 [contoso-CORPCA-CA 屬性] 對話方塊中的 [確定]。
以滑鼠右鍵按兩下 contoso-CORPCA-CA，指向 [ 所有工作]，然後按兩下 [ 停止服務]。等待 Active Directory 憑證服務停止。
以滑鼠右鍵按一下 [contoso-CORPCA-CA]、指向[所有工作]，然後按一下 [啟動服務]。
最小化 [憑證授權單位] 主控台。
開啟 [系統管理工具] 的 [事件檢視器]。
在主控台樹狀目錄中，展開 [應用程式及服務記錄檔]，然後按一下 [FIM Certificate Management]。
在事件清單中，確認最新事件「不」包含上次重新啟動憑證服務後的任何警告或錯誤事件。

注意

最後一個事件應該說明使用：SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ContosoRootCA\ExitModules\Clm.Exit 設定載入的結束模組
最小化 [事件檢視器]。

將 MIMCMAgent 憑證指紋複製到 Windows® 剪貼簿

還原 [憑證授權單位] 主控台。
在主控台樹狀目錄中，展開 [contoso-CORPCA-CA]，然後按一下 [已發出的憑證]。
在詳細數據窗格中，按兩下 [要求者名稱] 資料行中的 [CONTOSO\MIMCMAgent] 憑證，然後在 [證書範本] 資料行中使用 FIM CM 簽署。
在 [詳細資料] 索引標籤上，選取 [憑證指紋] 欄位。
選取指紋，然後按 CTRL+C。

注意

指紋字元清單中「不」包含前置空格。
按一下 [憑證] 對話方塊的 [確定]。
在 [開始] 功能表的 [搜尋程式及檔案] 方塊中，鍵入 [記事本]，然後按 ENTER。
在 [記事本] 的 [編輯] 功能表上，按一下 [貼上]。
按一下 [編輯] 功能表中的 [取代]。
在 [尋找目標] 方塊中鍵入空格字元，然後按一下 [全部取代]。

注意

這會移除指紋字元間的所有空格。
按一下 [取代] 對話方塊的 [取消]。
選取已轉換的 thumbprintstring，然後按 CTRL+C。
關閉 [記事本] 但不儲存變更。

設定 FIM CM 原則模組

還原 [憑證授權單位] 主控台。
以滑鼠右鍵按一下 [contoso-CORPCA-CA]，然後按一下 [屬性]。
在 [contoso-CORPCA-CA 屬性] 對話方塊的 [原則模組] 索引標籤上，按一下 [屬性]。
- 在 [一般] 索引標籤上，確定選取 [將非 FIM CM 要求傳遞至預設原則模組以進行處理]。
- 在 [簽署憑證] 索引標籤上，按一下 [新增]。
- 在 [憑證] 對話方塊中，以滑鼠右鍵按一下 [請指定十六進位編碼的憑證雜湊] 方塊，然後按一下 [貼上]。
- 按一下 [憑證] 對話方塊的 [確定]。
  
  注意
  
  如未啟用 [確定] 按鈕，當您複製 clmAgent 憑證的指紋時，指紋字串中會不小心包含隱藏的字元。請重複執行本練習中從工作 4：將 MIMCMAgent 憑證指紋複製到 Windows 剪貼簿開始的所有步驟。
在 [設定屬性] 對話方塊中，確認指紋會出現在 [有效的簽署憑證] 清單中，然後按一下 [確定]。
在 [FIM Certificate Management] 訊息方塊中，按一下 [確定]。
按一下 [contoso-CORPCA-CA 屬性] 對話方塊中的 [確定]。
以滑鼠右鍵按兩下 contoso-CORPCA-CA，指向 [ 所有工作]，然後按兩下 [ 停止服務]。
等待 Active Directory 憑證服務停止。
以滑鼠右鍵按一下 [contoso-CORPCA-CA]、指向[所有工作]，然後按一下 [啟動服務]。
關閉 [證書頒發機構單位 ] 主控台。
關閉所有已開啟的視窗，然後登出。

部署的最後一個步驟 是我們想要確定 CONTOSO\MIMCM-Managers 可以部署和建立範本並設定系統，而不需要架構和網域管理員。下一個指令碼會將權限 ACL 到使用 dsacls 的憑證範本。請使用具有完整權限的帳戶執行，變更樹系中每一個現有憑證範本的安全性讀取和寫入權限。

第一個步驟：設定服務連接點和目標群組權限以及委派設定檔範本管理

在服務連接點 (SCP) 上設定權限。
設定委派的設定檔範本管理。
在服務連接點 (SCP) 上設定權限。 <沒有腳本>
確定您已連線到 CORPDC 虛擬伺服器。
以 contoso\corpadmin 身分登入
從 [系統管理工具] 開啟 [Active Directory 使用者和電腦]。
在 [Active Directory 使用者和電腦] 的 [檢視] 功能表上，確定已啟用 [進階功能]。
在控制台樹中，展開 [Contoso.com | 系統 | Microsoft | 憑證生命週期管理員]，然後按兩下 [CORPCM]。
以滑鼠右鍵按一下 [CORPCM]，然後按一下 [屬性]。

在 [CORPCM 屬性] 對話方塊的 [安全性] 索引標籤上，新增下列群組與對應的權限：

群組	權限
mimcm-Managers	讀取 FIM CM 稽核 FIM CM 註冊代理程式 FIM CM 要求註冊 FIM CM 要求復原 FIM CM 要求更新 FIM CM 要求撤銷 FIM CM 要求解除封鎖智慧卡
mimcm-HelpDesk	讀取 FIM CM 註冊代理程式 FIM CM 要求撤銷 FIM CM 要求解除封鎖智慧卡

在 [CORPDC 屬性] 對話方塊中，按一下 [確定]。
讓 [Active Directory 使用者和電腦] 保持開啟。

在子系 User 使用者上設定權限

確定您仍在 [Active Directory 使用者和電腦] 主控台中。
在主控台樹狀目錄中，以滑鼠右鍵按一下 [Contoso.com]，然後按一下 [屬性]。
在 [安全性] 索引標籤上，按一下 [進階]。
在 [Advanced Security Settings for Contoso] (Contoso 進階安全性設定) 對話方塊中，按一下 [新增]。
在 [選取使用者、電腦、服務帳戶或群組] 對話方塊的 [輸入要選取的物件名稱] 方塊中，鍵入 mimcm-Managers，然後按一下 [確定]。
在 [Contoso 的許可權專案] 對話方塊的 [套用至] 列表中，選取 [子系用戶物件]，然後針對下列許可權啟用 [允許] 複選框：
- 讀取全部內容
- 讀取許可權
- FIM CM 稽核
- FIM CM 註冊代理程式
- FIM CM 要求註冊
- FIM CM 要求復原
- FIM CM 要求更新
- FIM CM 要求撤銷
- FIM CM 要求解除封鎖智慧卡
在 [Contoso 的權限項目] 對話方塊中，按一下 [確定]。
在 [Advanced Security Settings for Contoso] (Contoso 進階安全性設定) 對話方塊中，按一下 [新增]。
在 [選取使用者、電腦、服務帳戶或群組] 對話方塊的 [輸入要選取的物件名稱] 方塊中，鍵入 mimcm-HelpDesk，然後按一下 [確定]。
在 [Contoso 的權限項目] 對話方塊的 [套用到] 清單中，選取 [子系 User 使用者]，然後選取下列 [權限] 的 [允許] 核取方塊：
- 讀取全部內容
- 讀取許可權
- FIM CM 註冊代理程式
- FIM CM 要求撤銷
- FIM CM 要求解除封鎖智慧卡
在 [Contoso 的權限項目] 對話方塊中，按一下 [確定]。
在 [Contoso 的進階安全性設定 ] 對話框中，按兩下 [ 確定]。
按一下 [contoso.com 屬性] 對話方塊中的 [確定]。
讓 [Active Directory 使用者和電腦] 保持開啟。

在子系 User 使用者上設定權限<沒有指令碼>

確定您仍在 [Active Directory 使用者和電腦] 主控台中。
在主控台樹狀目錄中，以滑鼠右鍵按一下 [Contoso.com]，然後按一下 [屬性]。
在 [安全性] 索引標籤上，按一下 [進階]。
在 [Advanced Security Settings for Contoso] (Contoso 進階安全性設定) 對話方塊中，按一下 [新增]。
在 [選取使用者、電腦、服務帳戶或群組] 對話方塊的 [輸入要選取的物件名稱] 方塊中，鍵入 mimcm-Managers，然後按一下 [確定]。
在 [CONTOSO 的權限項目] 對話方塊的 [套用到] 清單中，選取 [子系 User 使用者]，然後啟用下列 [權限] 的 [允許] 核取方塊：
- 讀取全部內容
- 讀取許可權
- FIM CM 稽核
- FIM CM 註冊代理程式
- FIM CM 要求註冊
- FIM CM 要求復原
- FIM CM 要求更新
- FIM CM 要求撤銷
- FIM CM 要求解除封鎖智慧卡
在 [CONTOSO 的許可權專案 ] 對話框中，按兩下 [確定]。
在 [CONTOSO 的進階安全性設定 ] 對話框中，按兩下 [ 新增]。
在 [選取使用者、電腦、服務帳戶或群組] 對話方塊的 [輸入要選取的物件名稱] 方塊中，鍵入 mimcm-HelpDesk，然後按一下 [確定]。
在 [CONTOSO 的許可權專案] 對話方塊的 [套用至] 清單中，選取 [子系用戶物件]，然後選取下列許可權的 [允許] 複選框：
- 讀取全部內容
- 讀取許可權
- FIM CM 註冊代理程式
- FIM CM 要求撤銷
- FIM CM 要求解除封鎖智慧卡
在 [contoso 的權限項目] 對話方塊中，按一下 [確定]。
在 [Contoso 的進階安全性設定 ] 對話框中，按兩下 [ 確定]。
按一下 [contoso.com 屬性] 對話方塊中的 [確定]。
讓 [Active Directory 使用者和電腦] 保持開啟。

第二個步驟：委派憑證範本管理權限<指令碼>

委派憑證範本容器的權限。
委派 OID 容器的權限。
委派現有憑證範本的權限。

定義憑證範本容器的權限：

還原 [Active Directory 站台及服務] 主控台。
在主控台樹狀目錄中，依序展開 [服務] 和 [公開金鑰服務]，然後按一下 [憑證範本]。
在主控台樹狀目錄中，以滑鼠右鍵按一下 [憑證範本]，然後按一下 [委派控制]。
按一下 [委派控制精靈] 的 [下一步]。
按一下 [使用者或群組] 頁面的 [新增]。
在 [選取使用者、電腦或群組] 對話方塊的 [輸入要選取的物件名稱] 方塊中，鍵入 mimcm-Managers，然後按一下 [確定]。
按一下 [使用者或群組] 頁面的 [下一步]。
在 [將委派的工作] 頁面上，按一下 [建立自訂工作來委派]，然後按一下 [下一步]。
在 [Active Directory 物件類型] 頁面上，確認選取 [這個資料夾、資料夾內現存的物件、以及資料夾內建立的新物件]，然後按一下 [下一步]。
在 [權限] 頁面的 [權限] 清單中，選取 [完全控制] 核取方塊，然後按一下 [下一步]。
按一下 [完成委派控制精靈] 頁面的 [完成]。

定義 OID 容器的權限：

在主控台樹狀目錄中，以滑鼠右鍵按一下 [OID]，然後按一下 [屬性]。
在 [OID 屬性] 對話方塊的 [安全性] 索引標籤上，按一下 [進階]。
在 [Advanced Security Settings for OID] (OID 進階安全性設定) 對話方塊中，按一下 [新增]。
在 [選取使用者、電腦、服務帳戶或群組] 對話方塊的 [輸入要選取的物件名稱] 方塊中，鍵入 mimcm-Managers，然後按一下 [確定]。
在 [Permissions Entry for OID] (OID 的權限項目) 對話方塊方塊中，確認這些權限套用至 [此物件及所有子系物件]，按一下 [完全控制]，然後按一下 [確定]。
在 [Advanced Security Settings for OID] (OID 進階安全性設定) 對話方塊中，按一下 [確定]。
按一下 [OID 屬性] 對話方塊的 [確定]。
關閉 [Active Directory 站台及服務]。

指令碼：OID、設定檔範本和憑證範本容器的權限

此螢幕快照顯示證書範本屬性、O I D 屬性，以及 Active Directory 網站和服務。

import-module activedirectory
$adace = @{
"OID" = "AD:\\CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"CT" = "AD:\\CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"PT" = "AD:\\CN=Profile Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com"
}
$adace.GetEnumerator() | **Foreach-Object** {
$acl = **Get-Acl** *-Path* $_.Value
$sid=(**Get-ADGroup** "MIMCM-Managers").SID
$p = **New-Object** System.Security.Principal.SecurityIdentifier($sid)
##https://msdn.microsoft.com/library/system.directoryservices.activedirectorysecurityinheritance(v=vs.110).aspx
$ace = **New-Object** System.DirectoryServices.ActiveDirectoryAccessRule
($p,[System.DirectoryServices.ActiveDirectoryRights]"GenericAll",[System.Security.AccessControl.AccessControlType]::Allow,
[DirectoryServices.ActiveDirectorySecurityInheritance]::All)
$acl.AddAccessRule($ace)
**Set-Acl** *-Path* $_.Value *-AclObject* $acl
}

指令碼：委派現有憑證範本的權限。

顯示委派許可權 Windows PowerShell 螢幕快照。

dsacls "CN=Administrator,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CAExchange,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CEPEncryption,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ClientAuth,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CodeSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CrossCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=CTLSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DirectoryEmailReplication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DomainController,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=DomainControllerAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EFS,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EFSRecovery,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=EnrollmentAgentOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ExchangeUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=ExchangeUserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=FIMCMKeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=IPSecIntermediateOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=IPSecIntermediateOnline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=KerberosAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=KeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=Machine,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=MachineEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=OCSPResponseSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=OfflineRouter,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=RASAndIASServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SmartCardLogon,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SmartCardUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=SubCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=User,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=UserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=WebServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO

dsacls "CN=Workstation,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO