Chcete-li používat roaming pověření, musí všechny řadiče domény organizace používat systém Windows Server 2008 R2, Windows Server 2008 nebo Windows Server 2003 Service Pack 1 (SP1). Rovněž klientské počítače používané pro roaming pověření musí používat systém Windows 7, Windows Vista, Windows XP Service Pack 2 (SP2), Windows Server 2003 SP1 nebo Windows Server 2008.

Pokud je v používaném prostředí služby Active Directory k dispozici alespoň jeden řadič domény se systémem Windows Server 2008 R2 nebo Windows Server 2008, lze ke konfiguraci roamingu pověření použít zásady skupiny.

Pokud není k dispozici řadič domény se systémem Windows Server 2008 R2 nebo Windows Server 2008, je nutné před konfigurací roamingu pověření prostřednictvím zásad skupiny provést následující operace:

 1. Příprava služby AD DS (Active Directory Domain Services). Službu AD DS je nutné připravit pro ukládání certifikátů uživatelů, klíčů a hlavních klíčů rozhraní DPAPI.

 2. Vyloučení adresářů z cestovního profilu. Při použití cestovních profilů je nutné vyloučit určité adresáře, aby nedocházelo ke konfliktů s roamingem pověření.

 3. Instalace šablony pro správu zásad skupiny. Roaming pověření bude povolen prostřednictvím šablony pro správu zásad skupiny, která v klientském počítači nastaví příslušné hodnoty registru.

Informace o těchto přípravných krocích v sítích s řadiči domény, které dosud používají systém Windows Server 2003, naleznete v článku Konfigurace a řešení problémů s roamingem pověření klienta certifikační služby (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?LinkID=85332).

K provedení tohoto postupu jsou nutná minimálně oprávnění skupiny Enterprise Admins nebo Domain Admins nebo ekvivalentní oprávnění. Další informace naleznete v tématu Implementace správy založené na rolích.

Konfigurace roamingu pověření pro doménu pomocí zásad skupiny
 1. V řadiči domény se systémem Windows Server 2008 R2 nebo Windows Server 2008 klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a potom klikněte na možnost Správa zásad skupiny.

 2. Ve stromu konzoly dvakrát klikněte na seznam Objekty zásad skupiny v doménové struktuře a doméně obsahující objekt zásad domény výchozích zásad domény, který chcete upravit.

 3. Pravým tlačítkem myši klikněte na objekt zásad domény výchozích zásad domény a klikněte na příkaz Upravit.

 4. V konzole GPMC (Group Policy Management Console) přejděte na položku Konfigurace uživatele, Nastavení systému Windows, Nastavení zabezpečení a klikněte na možnost Zásady veřejných klíčů.

 5. Dvakrát klikněte na možnost Klient certifikační služby - Cestovní pověření.

 6. Klikněte na přepínač Povoleno a nakonfigurujte roaming pověření nebo kliknutím na přepínač Zakázáno jeho použití zablokujte.

 7. Pokud jste klikli na přepínač Povoleno, můžete také upravit následující možnosti:

  • Maximální životnost oprávnění označených jako neplatné (dny). Umožňuje definovat dobu, po kterou bude ve službě AD DS zachováno cestovní pověření pro místně odstraněný certifikát nebo klíč.

  • Maximální počet cestovních pověření na uživatele. Umožňuje definovat maximální počet certifikátů a klíčů, které lze s roamingem pověření použít.

  • Maximální velikost cestovního pověření (bajty). Umožňuje omezit roaming pro pověření, pokud je překročena definovaná velikost.

  • Roaming uložených uživatelských jmen a hesel. Umožňuje do zásady roamingu pověření zahrnout nebo z ní vyloučit uložená uživatelská jména nebo hesla.

 8. Kliknutím na tlačítko OK přijměte provedené změny.

Výchozí možnosti roamingu pověření v kroku 7 budou v mnoha organizacích přijatelné. V případě velkého počtu uživatelů a pověření v organizaci však roaming pověření může mít vliv na velikost databáze služby Active Directory. Informace, které vám pomohou při odhadu možného vlivu cestovních pověření na databázi služby Active Directory, naleznete v článku Konfigurace a řešení problémů s roamingem pověřením klienta certifikační služby (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?LinkID=85332).


Obsah