A szerepköralapú felügyelet segítségével a hitelesítésszolgáltatók (CA) rendszergazdáit különálló, előre definiált, saját feladatokkal rendelkező hitelesítésszolgáltatói szerepkörökbe sorolhatja. A szerepkörök kiosztását a felhasználók biztonsági beállításain keresztül teheti meg. Egy szerepkört úgy rendelhet hozzá egy felhasználóhoz, ha a felhasználónál megadja a szerepkörnek megfelelő biztonsági beállításokat. A Hitelesítésszolgáltató kezelése engedéllyel rendelkező felhasználó végrehajthat olyan hitelesítésszolgáltatói feladatokat, amelyeket a más engedélyekkel, például a Tanúsítványok kiállítása és kezelése engedéllyel rendelkező felhasználók nem.
A következő táblázatban azok a szerepkörök, felhasználók és csoportok szerepelnek, amelyeknél a szerepköralapú felügyelet használható. Szerepkör felhasználóhoz vagy csoporthoz rendeléséhez a szerepkör megfelelő biztonsági engedélyeit, csoporttagságait vagy felhasználói jogait kell a felhasználóhoz vagy csoporthoz rendelnie. Ezek a biztonsági engedélyek, csoporttagságok és felhasználói jogok határozzák meg, hogy a felhasználók milyen szerepkörökkel rendelkeznek.
Szerepkörök és csoportok | Biztonsági engedély | Leírás |
---|---|---|
Hitelesítésszolgáltatói rendszergazda |
Hitelesítésszolgáltató kezelése |
A hitelesítésszolgáltató konfigurálása és karbantartása Ez a hitelesítésszolgáltatói szerepkör az összes hitelesítésszolgáltatói szerepkör hozzárendelési és a hitelesítésszolgáltató tanúsítványok megújítási jogát tartalmazza. Ezen engedélyek hozzárendelése a Hitelesítésszolgáltató beépülő modulban történik. |
Tanúsítványkezelő |
Tanúsítványok kiállítása és kezelése |
Tanúsítványigénylési és -visszavonási kérelmek jóváhagyása Ez egy hitelesítésszolgáltatói szerepkör. A szerepkör neve máshol tanúsítványfelelős. Ezen engedélyek hozzárendelése a Hitelesítésszolgáltató beépülő modulban történik. |
Biztonságimásolat-felelős |
Biztonsági másolat készítése fájlokról és könyvtárakról Fájlok és könyvtárak helyreállítása |
A rendszer biztonsági mentését és helyreállítását végzi. A biztonsági mentés az operációs rendszer szolgáltatása. |
Naplófelelős |
Naplózás felügyelete |
A naplók konfigurálását, megjelenítését és karbantartását végzi. A naplózás az operációs rendszer szolgáltatása. A naplófelelős az operációs rendszer szerepköre. |
Igénylők |
Olvasás Igénylés |
Az igénylők olyan ügyfelek, akik hitelesítésszolgáltatótól tanúsítvány kérésére jogosultak. Ez nem egy hitelesítésszolgáltatói szerepkör. |
A hitelesítésszolgáltatói szerepkörök hozzárendelését és módosítását a helyi Rendszergazdák, a Vállalati rendszergazdák vagy a Tartománygazdák csoport tagjai végezhetik el. A vállalati hitelesítésszolgáltatók esetében a helyi rendszergazdák, a vállalati rendszergazdák és a tartománygazdák alapértelmezés szerint egyben hitelesítésszolgáltatói rendszergazdák is. Különálló hitelesítésszolgáltatók esetében alapértelmezés szerint csak a helyi rendszergazdák hitelesítésszolgáltatói rendszergazdák. Ha a különálló hitelesítésszolgáltató olyan kiszolgálón van telepítve, amely egy Active Directory tartomány része, a tartománygazdák is hitelesítésszolgáltatói rendszergazdák.
A hitelesítésszolgáltatói rendszergazda és a tanúsítványkezelő szerepkörök Active Directorybeli felhasználókhoz vagy a helyi számítógépen a helyi biztonsági fiókok adatbázis, a Biztonsági fiókkezelő (SAM) felhasználóihoz rendelhetők hozzá. Gyakorlati tanácsként javasolható, hogy a szerepköröket ne egyedi felhasználói fiókokhoz, hanem csoportfiókokhoz rendelje hozzá.
Csak a hitelesítésszolgáltatói rendszergazda, a tanúsítványkezelő, a naplófelelős és a biztonságimásolat-felelős szerepkörök hitelesítésszolgáltatói szerepkörök. A szerepalapú felügyelet szempontjából fontos, a táblázatban is szereplő többi felhasználót a hitelesítésszolgáltatói szerepkörök kiosztása előtt kell megismernie.
Csak a hitelesítésszolgáltatói rendszergazdák és tanúsítványkezelők használhatják a Hitelesítésszolgáltató beépülő modult. Felhasználók vagy csoportok engedélyeinek módosításához a felhasználó biztonsági engedélyeit, csoporttagságát vagy felhasználói jogait kell módosítania.
Hitelesítésszolgáltatóra vonatkozó hitelesítésszolgáltatói rendszergazda és tanúsítványkezelő biztonsági engedélyek beállítása |
Nyissa meg a Hitelesítésszolgáltató beépülő modult.
Kattintson a konzolfán a hitelesítésszolgáltató nevére.
Kattintson a Művelet menü Tulajdonságok parancsára.
A Biztonság lapon adja meg a biztonsági engedélyeket.
Szerepkörök és tevékenységek
Minden hitelesítésszolgáltatói szerepkörhöz adott hitelesítésszolgáltatói felügyeleti feladatok tartoznak. A következő táblázat a szerepköröket és a szerepkörben végrehajtandó hitelesítésszolgáltatói felügyeleti feladatokat tartalmazza.
Tevékenység | Hitelesítésszolgáltatói rendszergazda | Tanúsítványkezelő | Naplófelelős | Biztonságimásolat-felelős | Helyi rendszergazda | Megjegyzések |
---|---|---|---|---|---|---|
Hitelesítésszolgáltatók telepítése |
|
|
|
|
X |
|
A házirendmodul és a kilépési modul konfigurálása |
X |
|
|
|
|
|
Az Active Directory tanúsítványszolgáltatások (AD CS) szolgáltatás leállítása és elindítása |
X |
|
|
|
|
|
Kiterjesztések konfigurálása |
X |
|
|
|
|
|
Szerepkörök konfigurálása |
X |
|
|
|
|
|
Hitelesítészolgáltatói kulcsok megújítása |
|
|
|
|
X |
|
Kulcs-helyreállítási megbízottak meghatározása |
X |
|
|
|
|
|
Tanúsítványkezelők korlátozásainak konfigurálása |
X |
|
|
|
|
|
Egy sor törlése a hitelesítésszolgáltató adatbázisában |
X |
|
|
|
|
|
Több sor törlése a hitelesítésszolgáltató adatbázisában (tömeges törlés) |
X |
X |
|
|
|
A felhasználónak hitelesítésszolgáltatói rendszergazdának és tanúsítványkezelőnek kell lennie. A tevékenység nem hajtható végre szerepkör elkülönítés esetén. |
Szerepkör elkülönítés engedélyezése |
|
|
|
|
X |
|
Tanúsítványok kiállítása és jóváhagyása |
|
X |
|
|
|
|
Tanúsítványok elutasítása |
|
X |
|
|
|
|
Tanúsítványok visszavonása |
|
X |
|
|
|
|
Felfüggesztett tanúsítványok újraaktiválása |
|
X |
|
|
|
|
Tanúsítvány megújítása |
|
X |
|
|
|
|
Visszavont tanúsítványok lista (CRL) ütemezésének engedélyezése, közzététele és konfigurálása |
X |
|
|
|
|
|
Archivált kulcsok helyreállítása |
|
X |
|
|
|
Csak a tanúsítványkezelő kaphatja meg a titkosított kulcsok adatszerkezetét a hitelesítésszolgáltató adatbázisából. A kulcs adatszerkezetének visszafejtéséhez és a PKCS #12 fájl létrehozásához egy érvényes kulcs-helyreállítási megbízott titkos kulcsa szükséges. |
Naplózási paraméterek konfigurálása |
|
|
X |
|
|
Alapértelmezés szerint a helyi rendszergazda rendelkezik a rendszer naplózása felhasználói jogosultsággal. |
Naplózás |
|
|
X |
|
|
Alapértelmezés szerint a helyi rendszergazda rendelkezik a rendszer naplózása felhasználói jogosultsággal. |
A rendszer biztonsági mentése |
|
|
|
X |
|
Alapértelmezés szerint a helyi rendszergazda rendelkezik a rendszer biztonsági mentése felhasználói jogosultsággal. |
A rendszer visszaállítása |
|
|
|
X |
|
Alapértelmezés szerint a helyi rendszergazda rendelkezik a rendszer biztonsági mentése felhasználói jogosultsággal. |
A hitelesítésszolgáltatói adatbázis olvasása |
X |
X |
X |
X |
|
Alapértelmezés szerint a helyi rendszergazda rendelkezik a rendszer naplózása és a rendszer biztonsági mentése felhasználói jogosultsággal. |
A Hitelesítésszolgáltató konfigurációs adatainak olvasása |
X |
X |
X |
X |
|
Alapértelmezés szerint a helyi rendszergazda rendelkezik a rendszer naplózása és a rendszer biztonsági mentése felhasználói jogosultsággal. |
További szempontok
-
Az igénylők olvashatják a hitelesítésszolgáltató tulajdonságait és igényelhetnek tanúsítványokat. Tanúsítvány igényléséhez vállalati hitelesítésszolgáltató esetében a felhasználónak a tanúsítványsablonhoz Olvasás és Igénylés engedéllyel kell rendelkeznie. A hitelesítésszolgáltatói rendszergazdák, a tanúsítványkezelők, a naplófelelősök és a biztonságimásolat-felelősök rendelkeznek implicit Olvasás engedéllyel.
-
A naplófelelős rendelkezik a rendszer naplózása felhasználói jogosultsággal.
-
A biztonságimásolat-felelős rendelkezik a rendszer biztonsági mentése felhasználói jogosultsággal. A Biztonságimásolat-felelős ezen kívül elindíthatja és leállíthatja az Active Directory tanúsítványszolgáltatások (AD CS) szolgáltatást.
Szerepkörök hozzárendelése
A hitelesítésszolgáltatói rendszergazda úgy rendeli hozzá a felhasználókat a szerepköralapú felügyelet különálló szerepköreihez, hogy a felhasználók fiókjaira alkalmazza a szerepkörhöz szükséges biztonsági beállításokat. A hitelesítésszolgáltatói rendszergazda egy felhasználót több szerepkörhöz is hozzárendelhet, de a hitelesítésszolgáltató biztonságosabban működik, ha minden felhasználóhoz csak egy szerepkör tartozik. Ha ezt a delegációs stratégiát használja, kevesebb hitelesítésszolgáltatói feladat kerül veszélybe egy felhasználói fiók biztonságának sérülése esetén.
Rendszergazdai szempontok
A különálló hitelesítésszolgáltató alapértelmezett telepítési beállítása szerint a helyi Rendszergazdák csoport tagjai lesznek a hitelesítésszolgáltatói rendszergazdák. A vállalati hitelesítésszolgáltató alapértelmezett telepítési beállítása szerint a helyi Rendszergazdák, a Vállalati rendszergazdák és a Tartománygazdák csoportok tagjai is hitelesítésszolgáltatói rendszergazdák lesznek. Amikor az összes hitelesítésszolgáltatói szerepkör kiosztása megtörtént, a fenti fiókokat távolítsa el a hitelesítésszolgáltatói rendszergazda és tanúsítványkezelő szerepkörökből, hogy hatalmukat korlátozza.
Gyakorlati tanácsként javasolható, hogy a hitelesítésszolgáltatói rendszergazda és tanúsítványkezelő szerepkörökhöz rendelt csoportfiókok ne legyenek a helyi Rendszergazdák csoport tagjai. A hitelesítésszolgáltatói szerepköröket ne egyedi felhasználói fiókhoz, hanem csoportokhoz rendelje hozzá.
Megjegyzés | |
A helyi Rendszergazdák csoportbeli tagsághoz a hitelesítésszolgáltatón a hitelesítésszolgáltatói tanúsítvány megújítása szükséges. A csoport tagjai az összes többi hitelesítésszolgáltatói szerepkör felügyeleti engedélyeit átvehetik. |