A tanúsítványhordozáshoz a szervezetbeli összes tartományvezérlőnek Windows Server 2008 R2, Windows Server 2008 vagy Windows Server 2003 Service Pack 1 (SP1) rendszert, a tanúsítványhordozás kezeléséhez alkalmazott ügyfélszámítógépeknek pedig Windows 7, Windows Vista, Windows XP Service Pack 2 (SP2), Windows Server 2003 SP1 vagy Windows Server 2008 rendszert kell futtatniuk.
Ha az Active Directory-környezet tartalmaz legalább egy Windows Server 2008 R2 vagy Windows Server 2008 rendszerű tartományvezérlőt, akkor a tanúsítványhordozást csoportházirenddel is konfigurálhatja.
Ha nem rendelkezik Windows Server 2008 R2 vagy Windows Server 2008 rendszerű tartományvezérlővel, a csoportházirenddel való konfigurálás előtt el kell végeznie az alábbi lépéseket:
-
Az Active Directory tartományi szolgáltatások (AD DS) előkészítése: Az Active Directory tartományi szolgáltatásokat elő kell készítenie a felhasználói tanúsítványok és kulcsok, valamint az adatvédelmi API főkulcsainak tárolására.
-
Könyvtárak kizárása a központi profilokból: Központi profilok használata esetén bizonyos könyvtárakat ki kell zárnia a tanúsítványhordozással való ütközés elkerülése érdekében.
-
A csoportházirend ADM-sablonjának telepítése: A tanúsítványhordozás a csoportházirend egy ADM-sablonjával engedélyezhető; ez a sablon állítja be a megfelelő beállításazonosítókat az ügyfélszámítógépen.
A fenti előkészületi lépések Windows Server 2003 rendszert futtató tartományvezérlőkön való végrehajtásáról további információt a „Configuring and Troubleshooting Certificate Services Client – Credential Roaming” (
Ehhez a művelethez legalább a Vállalati rendszergazdák vagy a Tartománygazdák csoporthoz, illetve valamely ezekkel egyenértékű csoporthoz kell tartoznia. További információ: Szerepköralapú felügyelet megvalósítása.
Tanúsítványhordozás konfigurálása csoportházirenddel |
Kattintson a Windows Server 2008 R2 vagy Windows Server 2008 rendszerű tartományvezérlőn a Start gombra, mutasson a Felügyeleti eszközök pontra, majd válassza a Csoportházirend kezelése parancsot.
A konzolfán kattintson duplán a Csoportházirend-objektumok elemre a szerkeszteni kívánt Alapértelmezett tartományházirend csoportházirend-objektumot tartalmazó erdőben és tartományban.
Kattintson az egér jobb oldali gombjával az Alapértelmezett tartományházirend csoportházirend-objektumra, majd válassza a Szerkesztés parancsot.
A Csoportházirend kezelése konzolban navigáljon a Felhasználó konfigurációja, A Windows beállításai, Biztonsági beállítások elemre, majd kattintson a Nyilvános kulcs irányelvei elemre.
Kattintson duplán a Tanúsítványszolgáltatások ügyfele – Hitelesítő adatok hordozási beállításai elemre.
A tanúsítványhordozás konfigurálásához kattintson az Engedélyezve lehetőségre, vagy a használat blokkolásához kattintson a Letiltva lehetőségre.
Ha az Engedélyezve lehetőségre kattintott, az alábbi beállításokat szabhatja testre:
-
A hitelesítő adatok törlésre való kijelölése előtti maximális időtartam (nap): Megadhatja, hogy a helyileg törölt tanúsítványhoz vagy kulcshoz tartozó hordozott adatok meddig maradjanak meg az Active Directory tartományi szolgáltatásokban.
-
Maximálisan hordozható hitelesítő adatok száma felhasználónként: Meghatározhatja a tanúsítványhordozással használható tanúsítványok és kulcsok maximális számát.
-
Hordozható hitelesítő adat maximális mérete (bájtban): Segítségével kizárhatja a tanúsítványhordozásból a bizonyos méretet meghaladó tanúsítványokat.
-
Tárolt felhasználónevek és jelszavak hordozása: Megadhatja, hogy a felhasználóneveket és jelszavakat bele kívánja-e foglalni a tanúsítványhordozásba.
-
A hitelesítő adatok törlésre való kijelölése előtti maximális időtartam (nap): Megadhatja, hogy a helyileg törölt tanúsítványhoz vagy kulcshoz tartozó hordozott adatok meddig maradjanak meg az Active Directory tartományi szolgáltatásokban.
Kattintson az OK gombra a módosítások mentéséhez.
A szolgáltatás 7. lépésben említett beállításainak alapértéke sok szervezet számára megfelelő lehet. A tanúsítványhordozás azonban kihathat az Active Directory-adatbázis méretére, ha a szervezet nagyszámú felhasználóval és tanúsítvánnyal rendelkezik. Az Active Directory-adatbázis várható méretváltozásának megbecsülésével kapcsolatban további információt a „Configuring and Troubleshooting Certificate Services Client – Credential Roaming” (