Als u zwervende referenties wilt gebruiken, moet op alle domeincontrollers van uw organisatie Windows Server 2008 R2, Windows Server 2008 of Windows Server 2003 Service Pack 1 (SP1) worden uitgevoerd. Bovendien moet op clients die voor zwervende referenties worden gebruikt, ook Windows 7, Windows Vista, Windows XP Service Pack 2 (SP2), Windows Server 2003 SP1 of Windows Server 2008 worden uitgevoerd.
Als u in uw Active Directory-omgeving tenminste één domeincontroller hebt waarop Windows Server 2008 R2 of Windows Server 2008 wordt uitgevoerd, kunt u Groepsbeleid gebruiken om zwervende referenties te configureren.
Als u geen domeincontroller hebt waarop Windows Server 2008 R2 of Windows Server 2008 wordt uitgevoerd, moet u de volgende stappen uitvoeren voordat u via Groepsbeleid zwervende referenties kunt configureren:
-
Active Directory Domain Services (AD DS) voorbereiden. AD DS moet worden voorbereid om certificaten van gebruikers, sleutels en DPAPI-hoofdsleutels (Data Protection Application Programming Interface) te kunnen opslaan.
-
Mappen uitsluiten in zwervende profielen. Als zwervende profielen worden gebruikt, moeten bepaalde mappen worden uitgesloten om conflicten met zwervende referenties te voorkomen.
-
De beheersjabloon van Groepsbeleid installeren. Zwervende referenties worden ingeschakeld via een beheersjabloon van Groepsbeleid, waarmee de juiste registerwaarden worden ingesteld op een clientcomputer.
Zie de informatie over het configureren van zwervende referenties en het oplossen van problemen met deze referenties op Certificate Services-clients (
U moet minimaal lid zijn van de groep Domeinadministrators, Ondernemingsadministrators of een vergelijkbare groep om deze procedure te kunnen uitvoeren. Zie Op rollen gebaseerd beheer implementeren voor meer informatie.
Zwervende referenties voor een domein configureren met Groepsbeleid |
Klik op een domeincontroller waarop Windows Server 2008 R2 of Windows Server 2008 wordt uitgevoerd, op Start, wijs Systeembeheer aan en klik vervolgens op Groepsbeleidsbeheer.
Dubbelklik in de consolestructuur op Groepsbeleidsobjecten in het forest en domein met het groepsbeleidsobject Standaarddomeinbeleid dat u wilt bewerken.
Klik met de rechtermuisknop op het groepsbeleidsobject Standaarddomeinbeleid en klik vervolgens op Bewerken.
Ga in de console Groepsbeleidsbeheer naar Gebruikersconfiguratie, Windows-instellingen, Beveiligingsinstellingen, en klik vervolgens op Openbare-sleutelbeleid.
Dubbelklik op Certificate Services-client - zwervende referenties.
Klik op Ingeschakeld om zwervende referenties te configureren of op Uitgeschakeld om het gebruik ervan te blokkeren.
Als u op Ingeschakeld hebt geklikt, kunt u bovendien de volgende opties aanpassen:
-
Maximale levensduur van tombstone-referenties (in dagen). Hiermee kunt u opgeven hoe lang een zwervende referentie in AD DS aanwezig blijft voor een certificaat of sleutel die lokaal is verwijderd.
-
Maximum aantal zwervende referenties per gebruiker. Hiermee kunt u het maximum aantal certificaten en sleutels opgeven dat met zwervende referenties kan worden gebruikt.
-
Maximale grootte (in bytes) van een zwervende referentie. Hiermee kunt u voorkomen dat referenties die een bepaalde grootte overschrijden, kunnen zwerven.
-
Opgeslagen gebruikersnamen en wachtwoorden laten zwerven. Hiermee kunt u opgeslagen gebruikersnamen en wachtwoorden toevoegen aan of uitsluiten van het beleid voor zwervende referenties.
-
Maximale levensduur van tombstone-referenties (in dagen). Hiermee kunt u opgeven hoe lang een zwervende referentie in AD DS aanwezig blijft voor een certificaat of sleutel die lokaal is verwijderd.
Klik op OK om de wijzigingen op te slaan.
De standaardopties voor zwervende referenties in stap 7 zijn voor veel organisaties geschikt. Zwervende referenties kunnen echter van invloed zijn op de grootte van de Active Directory-database als een organisatie een groot aantal gebruikers en referenties heeft. Zie de informatie over het configureren van zwervende referenties en het oplossen van problemen met deze referenties op Certificate Services-clients (