Chcete-li používat roaming pověření, musí všechny řadiče domény organizace používat systém Windows Server 2008 R2, Windows Server 2008 nebo Windows Server 2003 Service Pack 1 (SP1). Rovněž klientské počítače používané pro roaming pověření musí používat systém Windows 7, Windows Vista, Windows XP Service Pack 2 (SP2), Windows Server 2003 SP1 nebo Windows Server 2008.
Pokud je v používaném prostředí služby Active Directory k dispozici alespoň jeden řadič domény se systémem Windows Server 2008 R2 nebo Windows Server 2008, lze ke konfiguraci roamingu pověření použít zásady skupiny.
Pokud není k dispozici řadič domény se systémem Windows Server 2008 R2 nebo Windows Server 2008, je nutné před konfigurací roamingu pověření prostřednictvím zásad skupiny provést následující operace:
-
Příprava služby AD DS (Active Directory Domain Services). Službu AD DS je nutné připravit pro ukládání certifikátů uživatelů, klíčů a hlavních klíčů rozhraní DPAPI.
-
Vyloučení adresářů z cestovního profilu. Při použití cestovních profilů je nutné vyloučit určité adresáře, aby nedocházelo ke konfliktů s roamingem pověření.
-
Instalace šablony pro správu zásad skupiny. Roaming pověření bude povolen prostřednictvím šablony pro správu zásad skupiny, která v klientském počítači nastaví příslušné hodnoty registru.
Informace o těchto přípravných krocích v sítích s řadiči domény, které dosud používají systém Windows Server 2003, naleznete v článku Konfigurace a řešení problémů s roamingem pověření klienta certifikační služby (stránka může být v angličtině) (
K provedení tohoto postupu jsou nutná minimálně oprávnění skupiny Enterprise Admins nebo Domain Admins nebo ekvivalentní oprávnění. Další informace naleznete v tématu Implementace správy založené na rolích.
Konfigurace roamingu pověření pro doménu pomocí zásad skupiny |
V řadiči domény se systémem Windows Server 2008 R2 nebo Windows Server 2008 klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a potom klikněte na možnost Správa zásad skupiny.
Ve stromu konzoly dvakrát klikněte na seznam Objekty zásad skupiny v doménové struktuře a doméně obsahující objekt zásad domény výchozích zásad domény, který chcete upravit.
Pravým tlačítkem myši klikněte na objekt zásad domény výchozích zásad domény a klikněte na příkaz Upravit.
V konzole GPMC (Group Policy Management Console) přejděte na položku Konfigurace uživatele, Nastavení systému Windows, Nastavení zabezpečení a klikněte na možnost Zásady veřejných klíčů.
Dvakrát klikněte na možnost Klient certifikační služby - Cestovní pověření.
Klikněte na přepínač Povoleno a nakonfigurujte roaming pověření nebo kliknutím na přepínač Zakázáno jeho použití zablokujte.
Pokud jste klikli na přepínač Povoleno, můžete také upravit následující možnosti:
-
Maximální životnost oprávnění označených jako neplatné (dny). Umožňuje definovat dobu, po kterou bude ve službě AD DS zachováno cestovní pověření pro místně odstraněný certifikát nebo klíč.
-
Maximální počet cestovních pověření na uživatele. Umožňuje definovat maximální počet certifikátů a klíčů, které lze s roamingem pověření použít.
-
Maximální velikost cestovního pověření (bajty). Umožňuje omezit roaming pro pověření, pokud je překročena definovaná velikost.
-
Roaming uložených uživatelských jmen a hesel. Umožňuje do zásady roamingu pověření zahrnout nebo z ní vyloučit uložená uživatelská jména nebo hesla.
-
Maximální životnost oprávnění označených jako neplatné (dny). Umožňuje definovat dobu, po kterou bude ve službě AD DS zachováno cestovní pověření pro místně odstraněný certifikát nebo klíč.
Kliknutím na tlačítko OK přijměte provedené změny.
Výchozí možnosti roamingu pověření v kroku 7 budou v mnoha organizacích přijatelné. V případě velkého počtu uživatelů a pověření v organizaci však roaming pověření může mít vliv na velikost databáze služby Active Directory. Informace, které vám pomohou při odhadu možného vlivu cestovních pověření na databázi služby Active Directory, naleznete v článku Konfigurace a řešení problémů s roamingem pověřením klienta certifikační služby (stránka může být v angličtině) (