Domänenadmin kann kein Zertifikat anfordern

noodells
Goto Top
Hallo Zusammen,

ich habe ein Problem beim Finden einer Einstellung.

Zuerst einmal der Stand:

Es gibt eine Windows CA und Domaincontroller und alles funktionierte damit wie gewünscht.

Ich gehe davon aus, dass jemand an den Berechtigungen im AD herumgespielt hat und damit Domänenadmins und Organisationsadmins die Berechtigung entzogen hat bei der Zertfikatsanforderung ein Zertifikat anzufordern.

Sowohl Domänenadmins als auch Organisationsadmins haben Vollzugriff auf die Zertifikatsvorlage, diese erscheint aber im MMC bei der Anforderung nicht.
Setze ich nun den Haken, dass Authentifizierte Benutzer auch das Registrieren können sollen, dann funktioniert das wieder einwandfrei.

Kann mir jemand sagen warum man als Domainadmin mit expliziter Berechtigung alles mit einem zertifikat zu machen, dennoch im MMC bei allen Zertifikaten den Eintrag "Die Berechtigung auf dieser Zertifikatsvorlage lassen nicht zu, dass der aktuelle Benutzer sich für diesen Zertfikatstyp enschreibt"


Ich bin an dem Anfordernden Rechner als Domänenadmin angemeldet, öffne eine mmc Konsole und bestätige das aufploppende Fenster mit Ok, dann füge ich bei Zertifikaten ein Computerzertifikat hinzu (lokaler Computer). Dann weiter auf Eigene Zertifikate und auf Neues Zertifikat anfordern und nach 2x Enter bin ich dann bei der Zertifikatsliste, die nur "Computer" anzeigt, was ja auch für Authentifizierte User zum registrieren freigegeben ist.

Meine Vermutung ist nun, dass jemand dem Admin die Zertifikatsregistrierung verboten hat, sodass die expliziete Freigabe dafür an der Zertifikatsvorlage nichts bringt.

Über einen Hinweis wäre in Dankbar.

LG, N

Content-Key: 659886

Url: https://administrator.de/contentid/659886

Ausgedruckt am: 28.06.2022 um 20:06 Uhr

Mitglied: canlot
canlot 06.03.2021 aktualisiert um 21:19:18 Uhr
Goto Top
Hi,

das liegt meistens nicht an den Berechtigungen sondern am Typ des Zertifikats.
Kann es sein dass das Zertifikat was du auszustellen versuchst ein Computerzertifikat ist?

Dann braucht der Computer/Server die Berechtigung Registrieren nicht der Benutzer.
Bei Authentifizierte Benutzer sind die Computer auch mit berechtigt, deswegen funktioniert es auch.

Wenn du die Ausgabe beschränken möchtest, dann kannst du eine Gruppe erstellen die registrieren kann und dort die Computer reinpacken.

Anders funktioniert es leider nicht, was ich persönlich auch doof finde.

Gruß

edit: ok, ist ein Computerzertifikat, habe ich beim ersten überfliegen nicht gesehen ;)
Mitglied: noodells
noodells 06.03.2021 um 21:25:34 Uhr
Goto Top
Hallo,

danke für die Vorstoß. Ich will eigentlich ein Webzertfikat anfordern, das wird mir auch wie gesagt angezeigt, wenn ich bei der CA die Berechtigung zum registrieren fürs Webzertfikat an alle Authorisierten Nutzer gebe, dann kann ich diese Vorlage sofort anwählen und eins anfordern. Normal geht das aber nicht solange ich "nur" Domänenadmin bin.

Es geht erstmal nur ums Zulassen von Anforderungen, mir würde es eigentlich fast reichen, dass das jeder Authentifizierte Nutzer macht, aber das ist denke nicht die saubere Lösung.
Mitglied: canlot
canlot 06.03.2021 um 21:33:44 Uhr
Goto Top
Zitat von @noodells:

Hallo,

danke für die Vorstoß. Ich will eigentlich ein Webzertfikat anfordern, das wird mir auch wie gesagt angezeigt, wenn ich bei der CA die Berechtigung zum registrieren fürs Webzertfikat an alle Authorisierten Nutzer gebe, dann kann ich diese Vorlage sofort anwählen und eins anfordern. Normal geht das aber nicht solange ich "nur" Domänenadmin bin.
Es sollte ausreichen wenn du Admin auf der Kiste bist, wovon du das Zertifikat registrieren möchtest.

Es geht erstmal nur ums Zulassen von Anforderungen, mir würde es eigentlich fast reichen, dass das jeder Authentifizierte Nutzer macht, aber das ist denke nicht die saubere Lösung.
Ja, kannst den Server dort direkt berechtigen oder eine Gruppe. Weil das ein Computerzertifikat ist, braucht der Computer das Recht und nicht der Benutzer, damit aber nicht jeder Benutzer auf dem Server ein Zertifikat registrieren kann, brauchst du administrative Rechte auf der Kiste.
Mitglied: noodells
noodells 06.03.2021 um 21:45:56 Uhr
Goto Top
Hallo,

es ist so, dass es bereits registrierte Server per signing request gibt und selbst diese nun mit vorhandenen Adminrechten und Domänenadminrechten keine weitere registrierung per mmc machen können.

Also reicht es wohl nicht aus, dass man Admin auf der Kiste ist.

Zumal die Server selbst natürlich nie in der Vorlage berechtigt waren.

Daher wars meine Idee, dass es an den Rechten vom User liegt.
Mitglied: canlot
canlot 06.03.2021 um 22:02:09 Uhr
Goto Top
Zitat von @noodells:

Hallo,
Hi

es ist so, dass es bereits registrierte Server per signing request gibt und selbst diese nun mit vorhandenen Adminrechten und Domänenadminrechten keine weitere registrierung per mmc machen können.
wir sprechen von certlm.msc?
Du meinst, dass es bereits registrierte Zertifikate auf dem Server gibt?
Das kann verschiedene Ursachen haben, man kann auch Zertifikate auf verschiedenen Wegen anfordern und registrieren.
Schon mal darüber nachgedacht, dass für das Registrieren mal das Recht auf die Vorlage gegeben wurden und danach wieder entfernt?
Habe ich auch schon mal gemacht, damit nicht "jeder" ein Zertifikat registrieren kann, der Admin Rechte auf den Dingern hat.

Also reicht es wohl nicht aus, dass man Admin auf der Kiste ist.
Doch, gerade getestet. Der Rechner/Server muss aber die Berechtigung in der Vorlage besitzen dass er das Zertifikat für sich registrieren darf. Ohne geht nicht, das ist ein Computerzertifikat und kein Benutzerzertifikat, deswegen die Berechtigung auf Computer und nicht Benutzer.

Zumal die Server selbst natürlich nie in der Vorlage berechtigt waren.
Dann hätte es nie funktioniert.

Daher wars meine Idee, dass es an den Rechten vom User liegt.

Mitglied: lcer00
Lösung lcer00 07.03.2021 um 08:49:51 Uhr
Goto Top
Hallo,

nochmal ganz deutlich:
Die Zertifikatsanforderung erfolgt durch das Systemkonto des Computers (also dem Computerkonto im AD). Der Lokale Administrator fordert seinen Computer auf, das Zertifikat anzufordern.

Überprüfe Folgendes:
  • ist der Domänenadmin auch Lokaler Admin des Servers? Domänenadmins sind mächtig, aber nicht automatisch lokale Admins.
  • hat das Computerkonto die Berechtigungen für die Zertifikatvorlage?

Es ist übrigens sehr sinnvoll, wenn sich Domänenadmins NICHT auf dem Member-Server anmelden (können) und dort auch keine Rechte haben/ ausüben. Stichwort Golden Ticket etc.

Grüße

lcer