Temos duas CAs corporativas intermediárias (Windows AD CS) em nosso domínio AD. Ambas as CAs têm apenas a função de Autoridade de Certificação habilitada.
CA1 é responsável pela emissão de certificados para estações de trabalho e usuários e possui um modelo Workstation Auth .
O CA2 é responsável por emitir certificados para servidores e possui um modelo Server Auth .
A inscrição automática está habilitada em todas as estações de trabalho e servidores em nosso domínio e em funcionamento.
Problema:
As estações de trabalho devem direcionar apenas o CA1 para registro automático
e os servidores devem direcionar apenas o CA2 para registro automático.
Eu quero conseguir isso usando políticas de grupo.
Eu sei que posso permitir a inscrição automática em um modelo apenas para membros de grupos de segurança, e isso funcionaria.
No entanto, prefiro uma solução usando políticas de grupo, porque organizamos estações de trabalho e servidores em UOs diferentes. Posso direcionar os dois grupos com políticas de grupo em UOs. A solução de grupo de segurança exigiria que gerenciássemos dois novos grupos de segurança além disso.
É possível configurar uma estação de trabalho ou servidor para se inscrever automaticamente apenas de uma determinada CA corporativa? Estou aberto a alternativas, se elas puderem ser alcançadas usando políticas de grupo.
Acho que você foi na direção errada. A solução é escolhida com base em um problema, não oposta. Seu requisito (somente GPO) não é justificado por um problema.
Vamos focar em um problema:
esta tarefa é resolvida por permissões. Coloque as estações de trabalho em um grupo de segurança (digamos "Estações de trabalho") e conceda permissões de leitura, inscrição e inscrição automática ao modelo de certificado "Autenticação da estação de trabalho". Atribua este modelo apenas ao CA1.
Coloque os servidores em um grupo de segurança (digamos, "Servidores") e conceda as permissões Ler, Inscrever e Inscrever automaticamente ao modelo de certificado "Autenticação do servidor". Atribua este modelo apenas ao CA2.
O GPO de registro automático único pode ser aplicado à UO de nível superior ou até mesmo no nível de domínio. É uma boa prática ter o GPO de registro automático aplicado no nível do domínio e as configurações exatas de registro automático (quem e quais modelos podem ser usados para registro automático) são controladas por permissões de modelo de certificado e atribuição de modelo às CAs correspondentes.