itlogger
Goto Top

User Zertifikate aus Active Directory laden bei Anmeldung

Hallo miteinander,

ich habe in unserer Active Directory Domäne (2008R2) eine Zertifizierungsstelle (AD integriert) installiert. Anschließend habe ich eine Kopie der Zertifikatsvorlage "Benutzer" angelegt und dort das "Registrieren" (enroll) Recht für die User zugewiesen.

Dieses Zertifikat verteile ich automatisch mit einer Gruppenrichtlinie. Wenn ein AD User noch kein Zertifikat hat und sich en einem Domänen PC anmeldet, so wird einige Sekunden nach Anmeldung automatisch ein zertifikat für diesen User angefordert und auf dem PC installiert. Soweit so gut.

Ich habe die Option gesetzt, dass kein neues Zertifikat angefordert wird, wenn bereits ein gültiges Zertifikat im Active Directory für diesen User vorhanden ist, damit es keine Mehrfachzertifikate für Benutzer gibt.

Nun stelle ich fest, dass das Zertifikat anscheinen nur auf dem ersten Rechner lokal installiert wird, also dort, wor der User sich als erstes einloggt. Das zertifikat wird angefordert, automatisch genehmigt und im AD gespeichert und zusätzlich bei den Eigenen User Zertifikaten auf dem Computer.

Wenn der user sich aber an einem anderen PC anmeldet, so wird dort überhaupt kein Zertifikat lokal gespeichert. Angefordert wird keines, da bereits eines im AD vorhanden ist, aber lokal auf dem Rechner installiert wird dieses nicht automatisch.

Ich denke ich habe hier nur eine Kleinigkeit vergessen, finde den entsprechenden Punkt nicht. Es muss doch eine Funktion geben, die das gültige Zertifikat des Users aus dem AD lokal auf dem Rechner installiert / einbindet - oder liege ich da falsch?

Gruß
Flo

Content-ID: 197791

Url: https://administrator.de/forum/user-zertifikate-aus-active-directory-laden-bei-anmeldung-197791.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

ITLogger
ITLogger 28.01.2013 um 14:35:51 Uhr
Goto Top
Ich habe gerade gesehen, dass es zusätzlich zu dem Pfad "Eigene Zertifikate" in der Zertifikatsverwaltung auf dem Computer noch den Punkt "Active Directory Benutzerobjekt" gibt. Hier wird das im AD gespeicherte Zertifikat angezeigt.
Ich habe dort allerdings keine Möglichkeit den privaten Schlüssel des Zertifikats mit zu exportieren.

Genau das ist mein eigentliches Ziel. Ist muss das komplette Zertifikat inkl. privatem Schlüssel exportieren und auf einem Mobilgerät installieren. Nur kann ich nun nur schwer feststellen, auf welchem PC das zertifikat komplett inkl. privatem Schlüssel installiert ist.