A szerepköralapú felügyelet segítségével a hitelesítésszolgáltatók (CA) rendszergazdáit különálló, előre definiált, saját feladatokkal rendelkező hitelesítésszolgáltatói szerepkörökbe sorolhatja. A szerepkörök kiosztását a felhasználók biztonsági beállításain keresztül teheti meg. Egy szerepkört úgy rendelhet hozzá egy felhasználóhoz, ha a felhasználónál megadja a szerepkörnek megfelelő biztonsági beállításokat. A Hitelesítésszolgáltató kezelése engedéllyel rendelkező felhasználó végrehajthat olyan hitelesítésszolgáltatói feladatokat, amelyeket a más engedélyekkel, például a Tanúsítványok kiállítása és kezelése engedéllyel rendelkező felhasználók nem.

A következő táblázatban azok a szerepkörök, felhasználók és csoportok szerepelnek, amelyeknél a szerepköralapú felügyelet használható. Szerepkör felhasználóhoz vagy csoporthoz rendeléséhez a szerepkör megfelelő biztonsági engedélyeit, csoporttagságait vagy felhasználói jogait kell a felhasználóhoz vagy csoporthoz rendelnie. Ezek a biztonsági engedélyek, csoporttagságok és felhasználói jogok határozzák meg, hogy a felhasználók milyen szerepkörökkel rendelkeznek.

Szerepkörök és csoportok Biztonsági engedély Leírás

Hitelesítésszolgáltatói rendszergazda

Hitelesítésszolgáltató kezelése

A hitelesítésszolgáltató konfigurálása és karbantartása Ez a hitelesítésszolgáltatói szerepkör az összes hitelesítésszolgáltatói szerepkör hozzárendelési és a hitelesítésszolgáltató tanúsítványok megújítási jogát tartalmazza. Ezen engedélyek hozzárendelése a Hitelesítésszolgáltató beépülő modulban történik.

Tanúsítványkezelő

Tanúsítványok kiállítása és kezelése

Tanúsítványigénylési és -visszavonási kérelmek jóváhagyása Ez egy hitelesítésszolgáltatói szerepkör. A szerepkör neve máshol tanúsítványfelelős. Ezen engedélyek hozzárendelése a Hitelesítésszolgáltató beépülő modulban történik.

Biztonságimásolat-felelős

Biztonsági másolat készítése fájlokról és könyvtárakról

Fájlok és könyvtárak helyreállítása

A rendszer biztonsági mentését és helyreállítását végzi. A biztonsági mentés az operációs rendszer szolgáltatása.

Naplófelelős

Naplózás felügyelete

A naplók konfigurálását, megjelenítését és karbantartását végzi. A naplózás az operációs rendszer szolgáltatása. A naplófelelős az operációs rendszer szerepköre.

Igénylők

Olvasás

Igénylés

Az igénylők olyan ügyfelek, akik hitelesítésszolgáltatótól tanúsítvány kérésére jogosultak. Ez nem egy hitelesítésszolgáltatói szerepkör.

A hitelesítésszolgáltatói szerepkörök hozzárendelését és módosítását a helyi Rendszergazdák, a Vállalati rendszergazdák vagy a Tartománygazdák csoport tagjai végezhetik el. A vállalati hitelesítésszolgáltatók esetében a helyi rendszergazdák, a vállalati rendszergazdák és a tartománygazdák alapértelmezés szerint egyben hitelesítésszolgáltatói rendszergazdák is. Különálló hitelesítésszolgáltatók esetében alapértelmezés szerint csak a helyi rendszergazdák hitelesítésszolgáltatói rendszergazdák. Ha a különálló hitelesítésszolgáltató olyan kiszolgálón van telepítve, amely egy Active Directory tartomány része, a tartománygazdák is hitelesítésszolgáltatói rendszergazdák.

A hitelesítésszolgáltatói rendszergazda és a tanúsítványkezelő szerepkörök Active Directorybeli felhasználókhoz vagy a helyi számítógépen a helyi biztonsági fiókok adatbázis, a Biztonsági fiókkezelő (SAM) felhasználóihoz rendelhetők hozzá. Gyakorlati tanácsként javasolható, hogy a szerepköröket ne egyedi felhasználói fiókokhoz, hanem csoportfiókokhoz rendelje hozzá.

Csak a hitelesítésszolgáltatói rendszergazda, a tanúsítványkezelő, a naplófelelős és a biztonságimásolat-felelős szerepkörök hitelesítésszolgáltatói szerepkörök. A szerepalapú felügyelet szempontjából fontos, a táblázatban is szereplő többi felhasználót a hitelesítésszolgáltatói szerepkörök kiosztása előtt kell megismernie.

Csak a hitelesítésszolgáltatói rendszergazdák és tanúsítványkezelők használhatják a Hitelesítésszolgáltató beépülő modult. Felhasználók vagy csoportok engedélyeinek módosításához a felhasználó biztonsági engedélyeit, csoporttagságát vagy felhasználói jogait kell módosítania.

Hitelesítésszolgáltatóra vonatkozó hitelesítésszolgáltatói rendszergazda és tanúsítványkezelő biztonsági engedélyek beállítása
  1. Nyissa meg a Hitelesítésszolgáltató beépülő modult.

  2. Kattintson a konzolfán a hitelesítésszolgáltató nevére.

  3. Kattintson a Művelet menü Tulajdonságok parancsára.

  4. A Biztonság lapon adja meg a biztonsági engedélyeket.

Szerepkörök és tevékenységek

Minden hitelesítésszolgáltatói szerepkörhöz adott hitelesítésszolgáltatói felügyeleti feladatok tartoznak. A következő táblázat a szerepköröket és a szerepkörben végrehajtandó hitelesítésszolgáltatói felügyeleti feladatokat tartalmazza.

Tevékenység Hitelesítésszolgáltatói rendszergazda Tanúsítványkezelő Naplófelelős Biztonságimásolat-felelős Helyi rendszergazda Megjegyzések

Hitelesítésszolgáltatók telepítése

 

 

 

 

X

 

A házirendmodul és a kilépési modul konfigurálása

X

 

 

 

 

 

Az Active Directory tanúsítványszolgáltatások (AD CS) szolgáltatás leállítása és elindítása

X

 

 

 

 

 

Kiterjesztések konfigurálása

X

 

 

 

 

 

Szerepkörök konfigurálása

X

 

 

 

 

 

Hitelesítészolgáltatói kulcsok megújítása

 

 

 

 

X

 

Kulcs-helyreállítási megbízottak meghatározása

X

 

 

 

 

 

Tanúsítványkezelők korlátozásainak konfigurálása

X

 

 

 

 

 

Egy sor törlése a hitelesítésszolgáltató adatbázisában

X

 

 

 

 

 

Több sor törlése a hitelesítésszolgáltató adatbázisában (tömeges törlés)

X

X

 

 

 

A felhasználónak hitelesítésszolgáltatói rendszergazdának és tanúsítványkezelőnek kell lennie. A tevékenység nem hajtható végre szerepkör elkülönítés esetén.

Szerepkör elkülönítés engedélyezése

 

 

 

 

X

 

Tanúsítványok kiállítása és jóváhagyása

 

X

 

 

 

 

Tanúsítványok elutasítása

 

X

 

 

 

 

Tanúsítványok visszavonása

 

X

 

 

 

 

Felfüggesztett tanúsítványok újraaktiválása

 

X

 

 

 

 

Tanúsítvány megújítása

 

X

 

 

 

 

Visszavont tanúsítványok lista (CRL) ütemezésének engedélyezése, közzététele és konfigurálása

X

 

 

 

 

 

Archivált kulcsok helyreállítása

 

X

 

 

 

Csak a tanúsítványkezelő kaphatja meg a titkosított kulcsok adatszerkezetét a hitelesítésszolgáltató adatbázisából. A kulcs adatszerkezetének visszafejtéséhez és a PKCS #12 fájl létrehozásához egy érvényes kulcs-helyreállítási megbízott titkos kulcsa szükséges.

Naplózási paraméterek konfigurálása

 

 

X

 

 

Alapértelmezés szerint a helyi rendszergazda rendelkezik a rendszer naplózása felhasználói jogosultsággal.

Naplózás

 

 

X

 

 

Alapértelmezés szerint a helyi rendszergazda rendelkezik a rendszer naplózása felhasználói jogosultsággal.

A rendszer biztonsági mentése

 

 

 

X

 

Alapértelmezés szerint a helyi rendszergazda rendelkezik a rendszer biztonsági mentése felhasználói jogosultsággal.

A rendszer visszaállítása

 

 

 

X

 

Alapértelmezés szerint a helyi rendszergazda rendelkezik a rendszer biztonsági mentése felhasználói jogosultsággal.

A hitelesítésszolgáltatói adatbázis olvasása

X

X

X

X

 

Alapértelmezés szerint a helyi rendszergazda rendelkezik a rendszer naplózása és a rendszer biztonsági mentése felhasználói jogosultsággal.

A Hitelesítésszolgáltató konfigurációs adatainak olvasása

X

X

X

X

 

Alapértelmezés szerint a helyi rendszergazda rendelkezik a rendszer naplózása és a rendszer biztonsági mentése felhasználói jogosultsággal.

További szempontok

  • Az igénylők olvashatják a hitelesítésszolgáltató tulajdonságait és igényelhetnek tanúsítványokat. Tanúsítvány igényléséhez vállalati hitelesítésszolgáltató esetében a felhasználónak a tanúsítványsablonhoz Olvasás és Igénylés engedéllyel kell rendelkeznie. A hitelesítésszolgáltatói rendszergazdák, a tanúsítványkezelők, a naplófelelősök és a biztonságimásolat-felelősök rendelkeznek implicit Olvasás engedéllyel.

  • A naplófelelős rendelkezik a rendszer naplózása felhasználói jogosultsággal.

  • A biztonságimásolat-felelős rendelkezik a rendszer biztonsági mentése felhasználói jogosultsággal. A Biztonságimásolat-felelős ezen kívül elindíthatja és leállíthatja az Active Directory tanúsítványszolgáltatások (AD CS) szolgáltatást.

Szerepkörök hozzárendelése

A hitelesítésszolgáltatói rendszergazda úgy rendeli hozzá a felhasználókat a szerepköralapú felügyelet különálló szerepköreihez, hogy a felhasználók fiókjaira alkalmazza a szerepkörhöz szükséges biztonsági beállításokat. A hitelesítésszolgáltatói rendszergazda egy felhasználót több szerepkörhöz is hozzárendelhet, de a hitelesítésszolgáltató biztonságosabban működik, ha minden felhasználóhoz csak egy szerepkör tartozik. Ha ezt a delegációs stratégiát használja, kevesebb hitelesítésszolgáltatói feladat kerül veszélybe egy felhasználói fiók biztonságának sérülése esetén.

Rendszergazdai szempontok

A különálló hitelesítésszolgáltató alapértelmezett telepítési beállítása szerint a helyi Rendszergazdák csoport tagjai lesznek a hitelesítésszolgáltatói rendszergazdák. A vállalati hitelesítésszolgáltató alapértelmezett telepítési beállítása szerint a helyi Rendszergazdák, a Vállalati rendszergazdák és a Tartománygazdák csoportok tagjai is hitelesítésszolgáltatói rendszergazdák lesznek. Amikor az összes hitelesítésszolgáltatói szerepkör kiosztása megtörtént, a fenti fiókokat távolítsa el a hitelesítésszolgáltatói rendszergazda és tanúsítványkezelő szerepkörökből, hogy hatalmukat korlátozza.

Gyakorlati tanácsként javasolható, hogy a hitelesítésszolgáltatói rendszergazda és tanúsítványkezelő szerepkörökhöz rendelt csoportfiókok ne legyenek a helyi Rendszergazdák csoport tagjai. A hitelesítésszolgáltatói szerepköröket ne egyedi felhasználói fiókhoz, hanem csoportokhoz rendelje hozzá.

Megjegyzés

A helyi Rendszergazdák csoportbeli tagsághoz a hitelesítésszolgáltatón a hitelesítésszolgáltatói tanúsítvány megújítása szükséges. A csoport tagjai az összes többi hitelesítésszolgáltatói szerepkör felügyeleti engedélyeit átvehetik.


Tartalom