我们的 AD 域中有两个中间企业 CA (Windows AD CS)。两个 CA 都只启用了证书颁发机构角色。
CA1 负责向工作站和用户颁发证书,并具有模板Workstation Auth。
CA2 负责向服务器颁发证书,并有一个模板Server Auth。
自动注册在我们域中的所有工作站和服务器上启用并且正在工作。
问题:
工作站应仅针对 CA1 进行自动注册
,服务器应仅针对 CA2 进行自动注册。
我想使用组策略来实现这一点。
我知道我可以只允许安全组成员在模板上自动注册,这会奏效。
但是,我更喜欢使用组策略的解决方案,因为我们将工作站和服务器组织在不同的 OU 中。我可以使用 OU 上的组策略来定位这两个组。安全组解决方案需要我们在此基础上管理两个新的安全组。
是否可以将工作站或服务器配置为仅从特定企业 CA 自动注册?如果可以使用组策略来实现,我对替代方案持开放态度。
我认为你走错了方向。解决方案是根据问题选择的,而不是相反的。您的要求(仅限 GPO)不能通过问题来证明。
让我们专注于一个问题:
此任务由权限解决。将工作站放入一个安全组(比如说“工作站”),并授予“工作站身份验证”证书模板的读取、注册和自动注册权限。仅将此模板分配给 CA1。
将服务器放入一个安全组(比如说“服务器”)并授予“服务器身份验证”证书模板的读取、注册和自动注册权限。仅将此模板分配给 CA2。
单个自动注册 GPO 可以应用于顶级 OU 甚至域级别。在域级别应用自动注册 GPO 是一种很好的做法,并且确切的自动注册设置(谁和哪些模板可以用于自动注册)由证书模板权限和分配给相应 CA 的模板控制。