Unternehmens-CA in Active Directory
Hallo Leute,
wir haben seit kurzem eine Unternehmens-CA im Active Directory installiert. Alles läuft soweit ganz gut.
Mittlerweile ist mir aufgefallen, dass sämtliche Computer in der AD ein Computerzertifikat von der Active-Directory bekommen haben. Wissentlich habe ich die automatische Zertifikatsregistrierung nicht angeschaltet...also habe ich mich mal auf die Suche gemacht. Dabei ist mir folgendes direkt aufgefallen:
Die automatische Zertifikatsregistrierung ist auf "Nicht konfiguriert" (Screenshot Nr.1) eingestellt. Die GPO-Schnellansicht (Screenshot Nr.2) zeigt allerdings, dass doch irgendwas konfiguriert ist.
Meine Frage:
Ist die Konfiguration so jetzt quasi eine Standardeinstellung nachdem man eine Unternehmens-CA-Installiert hat? Das bedeutet jetzt, jeder Computer & Server erstellt sich automatisch ein Zertifikat?
Zusatzfrage 1:
Zusatzfrage 2:
wir haben seit kurzem eine Unternehmens-CA im Active Directory installiert. Alles läuft soweit ganz gut.
Mittlerweile ist mir aufgefallen, dass sämtliche Computer in der AD ein Computerzertifikat von der Active-Directory bekommen haben. Wissentlich habe ich die automatische Zertifikatsregistrierung nicht angeschaltet...also habe ich mich mal auf die Suche gemacht. Dabei ist mir folgendes direkt aufgefallen:
Die automatische Zertifikatsregistrierung ist auf "Nicht konfiguriert" (Screenshot Nr.1) eingestellt. Die GPO-Schnellansicht (Screenshot Nr.2) zeigt allerdings, dass doch irgendwas konfiguriert ist.
Meine Frage:
Ist die Konfiguration so jetzt quasi eine Standardeinstellung nachdem man eine Unternehmens-CA-Installiert hat? Das bedeutet jetzt, jeder Computer & Server erstellt sich automatisch ein Zertifikat?
Zusatzfrage 1:
Zusatzfrage 2:
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 280992
Url: https://administrator.de/forum/unternehmens-ca-in-active-directory-280992.html
Ausgedruckt am: 04.04.2025 um 20:04 Uhr
4 Kommentare
Neuester Kommentar

Hallo,
am Montag alle Leute anrufen "das nichts mehr geht und man nirgends rein kommt", oder?
Und Vertrauensstellungen sind ja auch definiert worden.
Hintergrund einer solchen Angelegenheit, ich kann jetzt nicht einfach einen PC "abstöpseln" und meinen
"anstöpseln," dann wird gemeckert! Das Ziel ist ja eigentlich Geräte ohne Zertifikat abzulehnen und
nicht in das Netzwerk zu lassen!
Gruß
Dobby
dass sämtliche Computer in der AD ein Computerzertifikat von der Active-Directory bekommen haben.
Ist doch gut für Dich wenn Du Dich nicht auch noch um die Verteilung kümmern musst und Dicham Montag alle Leute anrufen "das nichts mehr geht und man nirgends rein kommt", oder?
Das bedeutet jetzt, jeder Computer & Server
Nur jene die auch Kontakt zum AD haben, da sind ja Konten angelegt für die MA, oder nicht?Und Vertrauensstellungen sind ja auch definiert worden.
erstellt sich automatisch ein Zertifikat?
Nein, denn für die wird ein Zertifikat erstellt! Das machen die nicht selber! das ist ja auch eigentlich derHintergrund einer solchen Angelegenheit, ich kann jetzt nicht einfach einen PC "abstöpseln" und meinen
"anstöpseln," dann wird gemeckert! Das Ziel ist ja eigentlich Geräte ohne Zertifikat abzulehnen und
nicht in das Netzwerk zu lassen!
Gruß
Dobby

Read and understand 
http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_ ...
Gruß grexit
http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_ ...
Gruß grexit
Hallo,
Zu Frage 1:
Zertifizierungsstelle -> Rechte Maustaste auf Zertifikatvorlagen -> Verwalten
In der Zertifikatvorlagenverwaltung kannst du in den Eigenschaften jeder Vorlage unter dem Reiter Sicherheit festlegen wer aufgrund der Vorlage ein Zertifikat anfordern/registrieren darf. Der Benutzer oder besser die Sicherheitsgruppe des Benutzers muss mittelbar oder unmittelbar das Lese- und Registrieren-Recht besitzen damit es in der Zertifikatanforderung (dein Bild zu Frage 1) auftaucht. Solltest du eine Vorlage gar nicht brauchen deaktiviere sie einfach:
Zertifizierungsstelle -> Zertifikatvorlagen -> Rechte Maustaste auf die Vorlage -> Löschen (Löschen heißt hier, dass die Vorlage in der Zertifikatvorlagenverwaltung noch existiert, aber nicht aktiv ist)
Zu Frage 2:
Technet-Artikel
Hier sollte alles über die GPO stehen. Ich selbst habe sie nie konfiguriert, da der bedarf nie da war. Es soll unter Anderem der Sicherheitserhöhung dienen. Benutzer können damit zum Beispiel nicht ihre eigenen Zertifikatsspeicher für vertrauenswürdige Stammzertifizierungszertifikate konfigurieren, um nicht irgendeine dubiose .crt-Datei aus dem Netz dort einzufügen. So hab ich das jedenfalls rausgelesen.
Grüße
Winary
Zu Frage 1:
Zertifizierungsstelle -> Rechte Maustaste auf Zertifikatvorlagen -> Verwalten
In der Zertifikatvorlagenverwaltung kannst du in den Eigenschaften jeder Vorlage unter dem Reiter Sicherheit festlegen wer aufgrund der Vorlage ein Zertifikat anfordern/registrieren darf. Der Benutzer oder besser die Sicherheitsgruppe des Benutzers muss mittelbar oder unmittelbar das Lese- und Registrieren-Recht besitzen damit es in der Zertifikatanforderung (dein Bild zu Frage 1) auftaucht. Solltest du eine Vorlage gar nicht brauchen deaktiviere sie einfach:
Zertifizierungsstelle -> Zertifikatvorlagen -> Rechte Maustaste auf die Vorlage -> Löschen (Löschen heißt hier, dass die Vorlage in der Zertifikatvorlagenverwaltung noch existiert, aber nicht aktiv ist)
Zu Frage 2:
Technet-Artikel
Hier sollte alles über die GPO stehen. Ich selbst habe sie nie konfiguriert, da der bedarf nie da war. Es soll unter Anderem der Sicherheitserhöhung dienen. Benutzer können damit zum Beispiel nicht ihre eigenen Zertifikatsspeicher für vertrauenswürdige Stammzertifizierungszertifikate konfigurieren, um nicht irgendeine dubiose .crt-Datei aus dem Netz dort einzufügen. So hab ich das jedenfalls rausgelesen.
Grüße
Winary