El administrador de certificados puede aprobar solicitudes de inscripción y revocación de certificados, emitir certificados y administrar certificados. Este rol se puede configurar mediante la asignación del permiso Emitir y administrar certificados a un usuario o a un grupo.
Al asignar este permiso a un usuario o un grupo, puede precisar aún más su capacidad de administrar certificados por grupo y por plantilla de certificado. Por ejemplo, es posible que desee implementar una restricción para que solo puedan aprobar solicitudes o revocar certificados de inicio de sesión de tarjeta inteligente para los usuarios de determinada oficina o unidad organizativa que sea la base de un grupo de seguridad.
Esta restricción se basa en un subconjunto de plantillas de certificado habilitado para la entidad de certificación (CA) y los grupos de usuarios con permisos de inscripción para la plantilla de certificado de dicha CA.
Para completar este procedimiento, debe ser administrador de la CA o miembro del grupo Administradores de organización o un grupo equivalente. Para obtener más información, vea Implementación de la administración basada en funciones.
 | Para configurar las restricciones de los administradores de certificados para una CA |
Abra el complemento Entidad de certificación y haga clic con el botón secundario en el nombre de la CA.
Haga clic en Propiedades y, a continuación, haga clic en la ficha Seguridad.
Compruebe si el usuario o el grupo seleccionado tiene el permiso Emitir y administrar certificados. Si aún no tienen este permiso, active la casilla Permitir y, a continuación, haga clic en Aplicar.
Haga clic en la ficha Administradores de certificados.
Haga clic en Restringir administradores de certificados y compruebe si se muestra el nombre del grupo o el usuario.
En Plantillas de certificado, haga clic en Agregar, seleccione la plantilla para los certificados que desea que administre este usuario o grupo y, a continuación, haga clic en Aceptar. Repita este paso hasta haber seleccionado todas las plantillas de certificado que desea permitir que administre este administrador de certificados.
En Permisos, haga clic en Agregar, escriba el nombre del cliente para el que desea que el administrador de certificados administre los tipos de certificados definidos y, a continuación, haga clic en Aceptar.
Si desea bloquear el administrador de certificados para evitar que administre los certificados de un usuario, un equipo o un grupo específicos, en Permisos, seleccione dicho usuario, equipo o grupo, y haga clic en Denegar.
Una vez configuradas las restricciones del administrador de certificados, haga clic en Aceptar o Aplicar.