網域群組原則可用於 Active Directory 網域服務 (AD DS) 環境中,管理下列類型的憑證相關活動:

  • 認證漫遊

  • 憑證自動註冊

  • 憑證路徑驗證

  • 憑證發佈

認證漫遊

認證漫遊可允許指定給特定 AD DS 使用者的 X.509 憑證、憑證要求及私密金鑰與使用者設定檔分開存放,並在網路的任何電腦上使用。

數位憑證和私密金鑰則相對含有較小量的資料,需以安全的方式來存放。認證漫遊原則透過指定數位憑證和私密金鑰的安全性儲存和大小需求,以提供在多台電腦上管理這些憑證的使用方式。在 Windows Server 2008 R2 及 Windows Server 2008 中,認證漫遊原則包含儲存的使用者名稱和密碼,以及憑證和金鑰。

如需相關資訊,請參閱啟用認證漫遊

如需認證漫遊,以及在 Windows Server 2008、Windows Server 2003、Windows Vista 和 Windows XP 中執行之顯著差異的相關資訊,請參閱<設定和疑難排解憑證服務用戶端 – 認證漫遊>(https://go.microsoft.com/fwlink/?LinkID=85332 (可能為英文網頁))。

憑證自動註冊

許多組織都會使用群組原則,自動註冊憑證的使用者、電腦或服務。

如需相關資訊,請參閱設定憑證自動註冊

憑證路徑驗證

隨著安全通訊及資料保護的憑證使用日益增加,系統管理員可以利用憑證路徑驗證選項,使用憑證信任原則來增強對憑證的使用,以及公開金鑰基礎結構效能的控制。

群組原則中的憑證路徑驗證設定允許系統管理員管理存放區、受信任的發行者、網路抓取及撤銷檢查。

如需相關資訊,請參閱管理憑證路徑驗證

憑證發佈

群組原則中的憑證發佈功能對管理組織中憑證相關信任而言非常實用。它允許您確認特定憑證已受信任,且在極少或沒有使用者介入的情況下,建立了憑證鏈結。您也可以封鎖無法直接撤銷的憑證使用,因為它們是由外部憑證授權單位 (CA) 所發行。

如需相關資訊,請參閱使用原則發佈憑證

其他參考資料


目錄