企業憑證授權單位 (CA) 可將憑證、憑證撤銷清單 (CRL) 和其他資料發行給 Active Directory 容器。而 [企業 PKI] 嵌入式管理單元可以用來瀏覽和管理那些容器內的物件。

可以利用 [企業 PKI] 嵌入式管理單元管理的 Active Directory 容器為:

  • NTAuthCertificates。包含目前樹系內的所有 CA 憑證。Enterprise Admins 群組成員安裝新的 CA 時,會自動新增憑證。也可以使用 [管理 AD 容器] 對話方塊,手動新增憑證。

  • AIA。包含用戶端使用授權資訊存取 (AIA) 憑證延伸擷取的 CA 憑證,以建立有效憑證鏈,以及擷取 CA 發出的任何交互憑證。

  • CDP。包含樹系中發行的所有基本 CRL 和 Delta CRL。

  • KRA。包含樹系之金鑰修復代理的憑證。金鑰修復代理必須設定成支援金鑰保存和復原。以企業 CA 註冊,就可以自動將金鑰修復代理憑證新增到這個容器。使用 [管理 AD 容器] 對話方塊,並無法手動新增金鑰修復代理憑證。

  • 憑證授權單位。包含樹系內信任根 CA 的憑證。Enterprise Admins 成員設定企業根 CA 或加入網域的獨立根 CA 時,會自動新增根 CA 憑證。也可以從命令提示字元手動新增根 CA 憑證,但是無法透過 [管理 AD 容器] 對話方塊進行。

  • 註冊服務。包含可用來將憑證發給樹系內使用者、電腦或服務之企業 CA 的憑證。只有安裝企業 CA 的 Enterprise Admins 成員,才可以將企業 CA 憑證新增到這個容器。使用 [管理 AD 容器] 對話方塊,並無法手動新增憑證。