Mithilfe der rollenbasierten Verwaltung können Sie Zertifizierungsstellenadministratoren in separaten, vordefinierten Zertifizierungsstellenrollen mit jeweils eigenen Aufgabensätzen organisieren. Rollen werden mithilfe der Sicherheitseinstellungen des jeweiligen Benutzers zugewiesen. Sie weisen einem Benutzer eine Rolle zu, indem Sie ihm die der Rolle jeweils zugeordneten Sicherheitseinstellungen zuweisen. Ein Benutzer, der über eine Berechtigung verfügt, z. B. über die Berechtigung "Zertifizierungsstelle verwalten", kann bestimmte Zertifizierungsstellenaufgaben ausführen, die ein Benutzer mit einer anderen Berechtigung, z. B. "Zertifikate ausstellen und verwalten", nicht ausführen kann.
In der folgenden Tabelle werden die Rollen, Benutzer und Gruppen beschrieben, die zum Implementieren der rollenbasierten Verwaltung verwendet werden können. Wenn Sie einem Benutzer oder einer Gruppe eine Rolle zuweisen möchten, müssen Sie dem Benutzer oder der Gruppe die entsprechenden Sicherheitsberechtigungen, Gruppenmitgliedschaften oder Benutzerrechte der Rolle zuweisen. Anhand dieser Sicherheitsberechtigungen, Gruppenmitgliedschaften oder Benutzerrechte wird unterschieden, welche Benutzer über welche Rollen verfügen.
Rollen und Gruppen | Sicherheitsberechtigung | Beschreibung |
---|---|---|
Zertifizierungsstellenadministrator |
Zertifizierungsstelle verwalten |
Konfigurieren und Verwalten der Zertifizierungsstelle. Dies ist eine Zertifizierungsstellenrolle, die die Fähigkeit einschließt, alle anderen Zertifizierungsstellenrollen zuzuweisen und das Zertifizierungsstellenzertifikat zu erneuern. Diese Berechtigungen werden mithilfe des Zertifizierungsstellen-Snap-Ins zugewiesen. |
Zertifikatverwaltung |
Zertifikate ausstellen und verwalten |
Genehmigen von Zertifikatregistrierungs- und -sperrungsanforderungen. Dies ist eine Zertifizierungsstellenrolle. Diese Rolle wird manchmal als Zertifizierungsstellen-Officer bezeichnet. Diese Berechtigungen werden mithilfe des Zertifizierungsstellen-Snap-Ins zugewiesen. |
Sicherungs-Operator |
Sichern von Dateien und Verzeichnissen Wiederherstellen von Dateien und Verzeichnissen |
Ausführen von Systemsicherungen und -wiederherstellungen. Die Sicherung ist ein Feature des Betriebssystems. |
Auditor |
Verwalten von Überwachungs- und Sicherheitsprotokollen |
Konfigurieren, Anzeigen und Verwalten von Überwachungsprotokollen. Die Überwachung ist ein Feature des Betriebssystems. Auditor ist eine Rolle des Betriebssystems. |
Registrierende |
Lesen Registrieren |
Registrierende sind Clients, die autorisiert sind, Zertifikate von einer Zertifizierungsstelle anzufordern. Dies ist keine Zertifizierungsstellenrolle. |
Alle Zertifizierungsstellenrollen werden von Mitgliedern der lokalen Gruppen Administratoren, Organisations-Admins oder Domänen-Admins zugewiesen und geändert. Für Unternehmenszertifizierungsstellen sind lokale Administratoren, Organisationsadministratoren und Domänenadministratoren standardmäßig Zertifizierungsstellenadministratoren. Für eine eigenständige Zertifizierungsstelle sind nur lokale Administratoren standardmäßig Zertifizierungsstellenadministratoren. Wenn eine eigenständige Zertifizierungsstelle auf einem Server installiert ist, der einer Active Directory-Domäne zugeordnet ist, sind die Domänenadministratoren auch Zertifizierungsstellenadministratoren.
Die Rollen Zertifizierungsstellenadministrator und Zertifikatverwaltung können Active Directory-Benutzern oder lokalen Benutzern in der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) des lokalen Computers, d. h. der lokalen Sicherheitskontendatenbank, zugewiesen werden. Es wird empfohlen, Rollen nicht zu einzelnen Benutzerkonten, sondern zu Gruppenkonten zuzuweisen.
Nur Zertifizierungsstellenadministrator, Zertifikatverwaltung, Auditor und Sicherungs-Operator sind Zertifizierungsstellenrollen. Die anderen in der Tabelle beschriebenen Benutzer sind für die rollenbasierte Verwaltung relevant, und Sie müssen ihre Funktion verstehen, bevor Sie Zertifizierungsstellenrollen zuweisen.
Nur die Rollen Zertifizierungsstellenadministrator und Zertifikatverwaltung werden mithilfe des Zertifizierungsstellen-Snap-Ins zugewiesen. Zum Ändern der Berechtigungen eines Benutzers oder einer Gruppe müssen Sie die Sicherheitsberechtigungen, Gruppenmitgliedschaften oder Benutzerrechte des Benutzers ändern.
So legen Sie die Sicherheitsberechtigungen "Zertifizierungsstellenadministrator" und "Zertifikatverwaltung" für eine Zertifizierungsstelle fest |
Öffnen Sie das Zertifizierungsstellen-Snap-In.
Klicken Sie in der Konsolenstruktur auf den Namen der Zertifizierungsstelle.
Klicken Sie im Menü Aktion auf Eigenschaften.
Klicken Sie auf die Registerkarte Sicherheit, und geben Sie die Sicherheitsberechtigungen an.
Rollen und Aktivitäten
Jeder Zertifizierungsstellenrolle ist eine spezifische Liste mit Zertifizierungsstellenaufgaben zugeordnet. In der folgenden Tabelle werden alle Zertifizierungsstellenaufgaben zusammen mit den Rollen, von denen sie ausgeführt werden, aufgeführt.
Aktivität | Zertifizierungsstellenadministrator | Zertifikatverwaltung | Auditor | Sicherungsoperator | Lokaler Administrator | Hinweise |
---|---|---|---|---|---|---|
Installieren von Zertifizierungsstellen |
|
|
|
|
X |
|
Konfigurieren von Richtlinien und Beenden von Modulen |
X |
|
|
|
|
|
Beenden und Starten des Dienstes Active Directory-Zertifikatsdienste |
X |
|
|
|
|
|
Konfigurieren von Erweiterungen |
X |
|
|
|
|
|
Konfigurieren von Rollen |
X |
|
|
|
|
|
Erneuern von Zertifizierungsstellenschlüsseln |
|
|
|
|
X |
|
Definieren von Key Recovery Agents |
X |
|
|
|
|
|
Konfigurieren von Zertifikatverwaltungseinschränkungen |
X |
|
|
|
|
|
Löschen einer einzelnen Zeile in der Datenbank der Zertifizierungsstelle |
X |
|
|
|
|
|
Löschen mehrerer Zeilen in der Datenbank der Zertifizierungsstelle (Mehrfachlöschung) |
X |
X |
|
|
|
Der Benutzer muss über die Rollen Zertifizierungsstellenadministrator und Zertifikatverwaltung verfügen. Diese Aktivität kann nicht ausgeführt werden, wenn Rollentrennung erzwungen wird. |
Aktivieren der Rollentrennung |
|
|
|
|
X |
|
Ausstellen und Genehmigen von Zertifikaten |
|
X |
|
|
|
|
Verweigern von Zertifikaten |
|
X |
|
|
|
|
Sperren von Zertifikaten |
|
X |
|
|
|
|
Erneutes Aktivieren von Zertifikaten im Wartezustand |
|
X |
|
|
|
|
Erneuern von Zertifikaten |
|
X |
|
|
|
|
Aktivieren, Veröffentlichen oder Konfigurieren von Zeitplänen für Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) |
X |
|
|
|
|
|
Wiederherstellen archivierter Schlüssel |
|
X |
|
|
|
Die verschlüsselte Schlüsseldatenstruktur kann nur mit der Rolle Zertifikatverwaltung aus der Datenbank der Zertifizierungsstelle abgerufen werden. Zum Entschlüsseln der Schlüsseldatenstruktur und zum Generieren einer PKCS #12-Datei ist der private Schlüssel eines gültigen Key Recovery Agent erforderlich. |
Konfigurieren von Überwachungsparametern |
|
|
X |
|
|
Der lokale Administrator verfügt standardmäßig über das Benutzerrecht Systemüberwachung. |
Überwachungsprotokolle |
|
|
X |
|
|
Der lokale Administrator verfügt standardmäßig über das Benutzerrecht Systemüberwachung. |
Sichern des Systems |
|
|
|
X |
|
Der lokale Administrator verfügt standardmäßig über das Benutzerrecht Systemsicherung. |
Wiederherstellen des Systems |
|
|
|
X |
|
Der lokale Administrator verfügt standardmäßig über das Benutzerrecht Systemsicherung. |
Lesen der Datenbank der Zertifizierungsstelle |
X |
X |
X |
X |
|
Der lokale Administrator verfügt standardmäßig über die Benutzerrechte Systemüberwachung und Systemsicherung. |
Lesen der Konfigurationsinformationen der Zertifizierungsstelle |
X |
X |
X |
X |
|
Der lokale Administrator verfügt standardmäßig über die Benutzerrechte Systemüberwachung und Systemsicherung. |
Weitere Überlegungen
-
Registrierende können Zertifizierungsstelleneigenschaften und Zertifikatsperrlisten lesen und Zertifikate anfordern. In einer Unternehmenszertifizierungsstelle muss ein Benutzer über die Berechtigungen Lesen und Registrieren für die Zertifikatvorlage verfügen, um ein Zertifikat anzufordern. Die Rollen Zertifizierungsstellenadministrator, Zertifikatverwaltung, Auditor und Sicherungs-Operator verfügen über implizite Leseberechtigungen.
-
Ein Auditor verfügt über das Benutzerrecht Systemüberwachung.
-
Ein Sicherungs-Operator verfügt über das Benutzerrecht Systemsicherung. Außerdem kann der Sicherungs-Operator den Dienst Active Directory-Zertifikatsdienste starten und beenden.
Zuweisen von Rollen
Der Zertifizierungsstellenadministrator einer Zertifizierungsstelle weist Benutzer den separaten Rollen der rollenbasierten Verwaltung zu, indem er die für eine Rolle erforderlichen Sicherheitseinstellungen auf das Konto des Benutzers anwendet. Der Zertifizierungsstellenadministrator kann einem Benutzer mehrere Rollen zuweisen, die Zertifizierungsstelle ist jedoch sicherer, wenn jeder Benutzer nur einer Rolle zugewiesen ist. Bei Verwendung dieser Delegierungsstrategie sind weniger Zertifizierungsstellenaufgaben gefährdet, wenn das Konto eines Benutzers gefährdet ist.
Überlegungen für den Administrator
Die Standardinstallationseinstellung für eine eigenständige Zertifizierungsstelle sieht vor, dass die Mitglieder der lokalen Gruppe Administratoren als Zertifizierungsstellenadministratoren festgelegt sind. Die Standardinstallationseinstellung für eine Unternehmenszertifizierungsstelle sieht vor, dass die Mitglieder der lokalen Gruppen Administratoren, Organisations-Admins und Domänen-Admins als Zertifizierungsstellenadministratoren festgelegt sind. Wenn Sie die Befugnisse dieser Konten einschränken möchten, sollten Sie sie nach dem Zuweisen aller Zertifizierungsstellenrollen aus den Rollen Zertifizierungsstellenadministrator und Zertifikatverwaltung entfernen.
Es empfiehlt sich, Gruppenkonten, denen die Rollen Zertifizierungsstellenadministrator und Zertifikatverwaltung zugewiesen sind, nicht als Mitglieder der lokalen Gruppe Administratoren festzulegen. Außerdem sollten Zertifizierungsstellenrollen nur Gruppenkonten und nicht einzelnen Benutzerkonten zugewiesen werden.
Hinweis | |
Zum Erneuern eines Zertifizierungsstellenzertifikats ist die Mitgliedschaft in der lokalen Gruppe Administratoren der Zertifizierungsstelle erforderlich. Mitglieder dieser Gruppe können über die Verwaltungsautorität für alle anderen Zertifizierungsstellenrollen verfügen. |