Hallo ManDal,

ich gehe meist so vor, dass ich die Standardvorlagen der Enterprise CA lösche, damit Systeme und Benutzer nicht automatisch Zertifikate von der CA anfordern. Danach hängt es vom Unternehmen ab, wie Vorlagen und Berechtigungen konfiguriert werden. Ich finde es beispielsweise sinnvoll, wenn auf jedem Zertifikat eine E-Mail Adresse angegeben ist, so lassen sich Benachrichtigungen über den Ablauf von Zertifikaten verschicken. Ich hab in der Vergangenheit meistens eine AD-Gruppe je Vorlage erstellt. Mittels der Gruppe werden dann die Benutzer/Computer berechtigt, welche die Zertifikate anfordern können. 

Gruß,

Frank

Hallo Frank

Danke für dein Hinweis, das mit den AD Gruppen finde ich eine guter Ansatz...

Wen ich die Domain Admins, Domain Computers und Enterprise Admins Gruppen auf dem Template entferne und nur noch eine spezifische Gruppe hinzufügen, bekomme ich dann Probleme oder würde das funktionieren?

Oder besser gesagt welche AD Gruppen müssen auf dem Template vorhanden sein damit ich keine Probleme bekomme?

Grüsse

ManDal

Hallo Frank

Habe das jetzt Test halber ausprobiert und eine Kopie des Web Templates erstellt, wen ich dort jetzt alle AD Gruppen rauslösche und nur die neue erstellte Gruppe hinzufüge mit meinem Admin Benutzer drin kann ich das Web Zertifikat über die IIS Seite nicht ausstellen, wen ich den Admin Benutzer aber direkt dem Template zuteile also ohne AD Gruppe funktioniert es.

Mache ich da irgend etwas falsch?

Grüsse

ManDal

Hi,

hast du dran gedacht, dass du dich dann einmal ab- und anmelden musst, damit die neuen Gruppenmitgliedschaften greifen? Je nachdem wer das Zertifikat anfordert, müssen ggf. auch die Computerkonten zur Gruppe hinzugefügt werden.

Gruß,

Frank

Hallo Frank

Danke für den Hinweis nach dem ab und wieder Anmelden ist das Web Zerti nun auch ersichtlich... 

Grüsse

ManDal