Domänenadmin kann kein Zertifikat anfordern

Mitglied: noodells

noodells (Level 1) - Jetzt verbinden

06.03.2021 um 21:08 Uhr, 537 Aufrufe, 6 Kommentare

Hallo Zusammen,

ich habe ein Problem beim Finden einer Einstellung.

Zuerst einmal der Stand:

Es gibt eine Windows CA und Domaincontroller und alles funktionierte damit wie gewünscht.

Ich gehe davon aus, dass jemand an den Berechtigungen im AD herumgespielt hat und damit Domänenadmins und Organisationsadmins die Berechtigung entzogen hat bei der Zertfikatsanforderung ein Zertifikat anzufordern.

Sowohl Domänenadmins als auch Organisationsadmins haben Vollzugriff auf die Zertifikatsvorlage, diese erscheint aber im MMC bei der Anforderung nicht.
Setze ich nun den Haken, dass Authentifizierte Benutzer auch das Registrieren können sollen, dann funktioniert das wieder einwandfrei.

Kann mir jemand sagen warum man als Domainadmin mit expliziter Berechtigung alles mit einem zertifikat zu machen, dennoch im MMC bei allen Zertifikaten den Eintrag "Die Berechtigung auf dieser Zertifikatsvorlage lassen nicht zu, dass der aktuelle Benutzer sich für diesen Zertfikatstyp enschreibt"


Ich bin an dem Anfordernden Rechner als Domänenadmin angemeldet, öffne eine mmc Konsole und bestätige das aufploppende Fenster mit Ok, dann füge ich bei Zertifikaten ein Computerzertifikat hinzu (lokaler Computer). Dann weiter auf Eigene Zertifikate und auf Neues Zertifikat anfordern und nach 2x Enter bin ich dann bei der Zertifikatsliste, die nur "Computer" anzeigt, was ja auch für Authentifizierte User zum registrieren freigegeben ist.

Meine Vermutung ist nun, dass jemand dem Admin die Zertifikatsregistrierung verboten hat, sodass die expliziete Freigabe dafür an der Zertifikatsvorlage nichts bringt.

Über einen Hinweis wäre in Dankbar.

LG, N
Mitglied: canlot
06.03.2021, aktualisiert um 21:19 Uhr
Hi,

das liegt meistens nicht an den Berechtigungen sondern am Typ des Zertifikats.
Kann es sein dass das Zertifikat was du auszustellen versuchst ein Computerzertifikat ist?

Dann braucht der Computer/Server die Berechtigung Registrieren nicht der Benutzer.
Bei Authentifizierte Benutzer sind die Computer auch mit berechtigt, deswegen funktioniert es auch.

Wenn du die Ausgabe beschränken möchtest, dann kannst du eine Gruppe erstellen die registrieren kann und dort die Computer reinpacken.

Anders funktioniert es leider nicht, was ich persönlich auch doof finde.

Gruß

edit: ok, ist ein Computerzertifikat, habe ich beim ersten überfliegen nicht gesehen ;)
Bitte warten ..
Mitglied: noodells
06.03.2021 um 21:25 Uhr
Hallo,

danke für die Vorstoß. Ich will eigentlich ein Webzertfikat anfordern, das wird mir auch wie gesagt angezeigt, wenn ich bei der CA die Berechtigung zum registrieren fürs Webzertfikat an alle Authorisierten Nutzer gebe, dann kann ich diese Vorlage sofort anwählen und eins anfordern. Normal geht das aber nicht solange ich "nur" Domänenadmin bin.

Es geht erstmal nur ums Zulassen von Anforderungen, mir würde es eigentlich fast reichen, dass das jeder Authentifizierte Nutzer macht, aber das ist denke nicht die saubere Lösung.
Bitte warten ..
Mitglied: canlot
06.03.2021 um 21:33 Uhr
Zitat von @noodells:

Hallo,

danke für die Vorstoß. Ich will eigentlich ein Webzertfikat anfordern, das wird mir auch wie gesagt angezeigt, wenn ich bei der CA die Berechtigung zum registrieren fürs Webzertfikat an alle Authorisierten Nutzer gebe, dann kann ich diese Vorlage sofort anwählen und eins anfordern. Normal geht das aber nicht solange ich "nur" Domänenadmin bin.
Es sollte ausreichen wenn du Admin auf der Kiste bist, wovon du das Zertifikat registrieren möchtest.

Es geht erstmal nur ums Zulassen von Anforderungen, mir würde es eigentlich fast reichen, dass das jeder Authentifizierte Nutzer macht, aber das ist denke nicht die saubere Lösung.
Ja, kannst den Server dort direkt berechtigen oder eine Gruppe. Weil das ein Computerzertifikat ist, braucht der Computer das Recht und nicht der Benutzer, damit aber nicht jeder Benutzer auf dem Server ein Zertifikat registrieren kann, brauchst du administrative Rechte auf der Kiste.
Bitte warten ..
Mitglied: noodells
06.03.2021 um 21:45 Uhr
Hallo,

es ist so, dass es bereits registrierte Server per signing request gibt und selbst diese nun mit vorhandenen Adminrechten und Domänenadminrechten keine weitere registrierung per mmc machen können.

Also reicht es wohl nicht aus, dass man Admin auf der Kiste ist.

Zumal die Server selbst natürlich nie in der Vorlage berechtigt waren.

Daher wars meine Idee, dass es an den Rechten vom User liegt.
Bitte warten ..
Mitglied: canlot
06.03.2021 um 22:02 Uhr
Zitat von @noodells:

Hallo,
Hi

es ist so, dass es bereits registrierte Server per signing request gibt und selbst diese nun mit vorhandenen Adminrechten und Domänenadminrechten keine weitere registrierung per mmc machen können.
wir sprechen von certlm.msc?
Du meinst, dass es bereits registrierte Zertifikate auf dem Server gibt?
Das kann verschiedene Ursachen haben, man kann auch Zertifikate auf verschiedenen Wegen anfordern und registrieren.
Schon mal darüber nachgedacht, dass für das Registrieren mal das Recht auf die Vorlage gegeben wurden und danach wieder entfernt?
Habe ich auch schon mal gemacht, damit nicht "jeder" ein Zertifikat registrieren kann, der Admin Rechte auf den Dingern hat.

Also reicht es wohl nicht aus, dass man Admin auf der Kiste ist.
Doch, gerade getestet. Der Rechner/Server muss aber die Berechtigung in der Vorlage besitzen dass er das Zertifikat für sich registrieren darf. Ohne geht nicht, das ist ein Computerzertifikat und kein Benutzerzertifikat, deswegen die Berechtigung auf Computer und nicht Benutzer.

Zumal die Server selbst natürlich nie in der Vorlage berechtigt waren.
Dann hätte es nie funktioniert.

Daher wars meine Idee, dass es an den Rechten vom User liegt.

Bitte warten ..
Mitglied: lcer00
LÖSUNG 07.03.2021 um 08:49 Uhr
Hallo,

nochmal ganz deutlich:
Die Zertifikatsanforderung erfolgt durch das Systemkonto des Computers (also dem Computerkonto im AD). Der Lokale Administrator fordert seinen Computer auf, das Zertifikat anzufordern.

Überprüfe Folgendes:
  • ist der Domänenadmin auch Lokaler Admin des Servers? Domänenadmins sind mächtig, aber nicht automatisch lokale Admins.
  • hat das Computerkonto die Berechtigungen für die Zertifikatvorlage?

Es ist übrigens sehr sinnvoll, wenn sich Domänenadmins NICHT auf dem Member-Server anmelden (können) und dort auch keine Rechte haben/ ausüben. Stichwort Golden Ticket etc.

Grüße

lcer
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 20 StundenTippErkennung und -Abwehr4 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 15 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...