您可以使用此程序設定 Active Directory(R) 憑證服務 (AD CS) 用來當作電腦憑證基礎的憑證範本,這些電腦憑證是在網域成員用戶端電腦註冊的電腦憑證。

若要完成此程序,至少需要根網域的 Enterprise Admins 群組與 Domain Admins 群組的成員資格。

重要

如果您已經使用 NPS 伺服器憑證:設定範本及自動註冊所提供的步驟部署伺服器憑證,就不需要執行此程序的步驟 13 到 20。這些步驟是用來設定電腦憑證自動註冊,而您可以在上述主題中找到相同的步驟。

設定憑證範本與自動註冊

  1. 在安裝 Active Directory 憑證服務的電腦上,依序按一下 [開始][執行],輸入 mmc,然後按一下 [確定]

  2. [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。此時會開啟 [新增或移除嵌入式管理單元] 對話方塊。

  3. [可用的嵌入式管理單元] 中,按兩下 [憑證授權單位]。選取要使用嵌入式管理單元來管理的憑證授權單位 (CA),然後按一下 [完成]。此時會關閉 [憑證授權單位] 對話方塊,返回 [新增或移除嵌入式管理單元] 對話方塊。

  4. [可用的嵌入式管理單元] 中,按兩下 [憑證範本],然後按一下 [確定]

  5. 在主控台樹狀目錄中,按一下 [憑證範本]。所有的憑證範本都會顯示在詳細資料窗格中。

  6. 在詳細資料窗格中,按一下 [工作站驗證] 範本。

  7. [執行] 功能表上,按一下 [複製範本]。此時會開啟 [複製範本] 對話方塊。選取適用於部署的範本版本,然後按一下 [確定]。此時會開啟新範本內容對話方塊。

  8. [一般] 索引標籤的 [顯示名稱] 中,輸入憑證範本的新名稱或保留預設名稱。

  9. 按一下 [安全性] 索引標籤。在 [群組或使用者名稱] 中按一下 [網域電腦]

  10. [網域電腦的權限] 中的 [允許] 之下,選取 [註冊][自動註冊] 權限核取方塊,然後按一下 [確定]

  11. 按兩下 [憑證授權單位],按兩下 CA 名稱,然後按一下 [憑證範本]。在 [執行] 功能表,指向 [新增],然後按一下 [要發出的憑證範本]。此時會開啟 [啟用憑證範本] 對話方塊。

  12. 按一下您剛才設定的憑證範本名稱,然後按一下 [確定]。例如,如果您沒有變更預設憑證範本名稱,按一下 [工作站驗證的複本],然後按一下 [確定]

  13. 在安裝 Active Directory 網域服務 (AD DS) 的電腦上,依序按一下 [開始][執行],輸入 mmc,然後按一下 [確定]

  14. [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。此時會開啟 [新增或移除嵌入式管理單元] 對話方塊。

  15. [新增或移除嵌入式管理單元] 對話方塊的 [可用的嵌入式管理單元] 中,按兩下 [群組原則管理編輯器]。此時會開啟 [選取群組原則物件] 精靈。按一下 [瀏覽],然後選取 [預設網域原則]。依序按一下 [確定][完成],然後再按一次 [確定]

  16. 按兩下 [預設網域原則]。依序開啟 [電腦設定][原則][Windows 設定][安全性設定],然後開啟 [公開金鑰原則]

  17. 在詳細資料窗格中,按兩下 [憑證服務用戶端 - 自動註冊]。此時會開啟 [憑證服務用戶端 - 自動註冊內容] 對話方塊。

  18. [憑證服務用戶端 - 自動註冊內容] 對話方塊的 [設定模型] 中,選取 [啟用]

  19. 選取 [更新到期的憑證,更新擱置中的憑證並移除撤銷的憑證] 核取方塊。

  20. 選取 [更新使用憑證範本的憑證] 核取方塊,然後按一下 [確定]

其他考量

完成此程序後,網域成員用戶端電腦會在重新整理群組原則時,自動註冊用戶端電腦憑證。若要重新整理群組原則,請重新啟動用戶端電腦,或在命令提示字元執行 gpupdate

目錄