Korzystając z administrowania opartego na rolach, można przypisywać administratorom urzędów certyfikacji osobne, wstępnie zdefiniowane role w urzędzie certyfikacji, z których każda obejmuje odrębne zestawy zadań. Role przypisuje się przy użyciu ustawień zabezpieczeń poszczególnych użytkowników. Aby przypisać rolę użytkownikowi, należy przypisać mu określone ustawienia zabezpieczeń skojarzone z tą rolą. Użytkownik, który ma jeden typ uprawnienia, na przykład uprawnienie Zarządzanie urzędem certyfikacji, może wykonywać określone zadania w urzędzie certyfikacji, których użytkownik z innym typem uprawnień, na przykład z uprawnieniem Wystawianie certyfikatów i zarządzanie nimi, nie może wykonywać.
W poniższej tabeli opisano role, użytkowników i grupy, których można użyć, implementując administrowanie oparte na rolach. Aby przypisać rolę do użytkownika lub grupy, należy danemu użytkownikowi lub grupie przypisać uprawnienia zabezpieczeń, członkostwa w grupach lub prawa użytkownika odpowiadające tej roli. Te uprawnienia zabezpieczeń, członkostwa w grupach i prawa użytkownika umożliwiają odróżnianie, którzy użytkownicy pełnią które role.
Role i grupy | Uprawnienie zabezpieczeń | Opis |
---|---|---|
Administrator urzędu certyfikacji |
Zarządzanie urzędem certyfikacji |
Konfigurowanie i obsługa urzędu certyfikacji. Jest to rola urzędu certyfikacji i umożliwia przypisywanie wszystkich pozostałych ról urzędu certyfikacji, a także odnawianie certyfikatu urzędu certyfikacji. Te uprawnienia przypisuje się za pomocą przystawki Urząd certyfikacji. |
Menedżer certyfikatów |
Wystawianie certyfikatów i zarządzanie nimi |
Zatwierdzanie żądań zarejestrowania i odwołania certyfikatów. To jest rola urzędu certyfikacji. Ta rola jest czasem określana mianem „urzędnika certyfikacji”. Te uprawnienia przypisuje się za pomocą przystawki Urząd certyfikacji. |
Operator kopii zapasowych |
Wykonywanie kopii zapasowych plików i katalogów Przywracanie plików i katalogów |
Wykonywanie kopii zapasowych i odzyskiwania systemu. Program Kopia zapasowa jest funkcją systemu operacyjnego. |
Audytor |
Zarządzanie dziennikiem inspekcji i zabezpieczeń |
Konfigurowanie, przeglądanie i obsługiwanie dzienników inspekcji. Funkcja inspekcji jest funkcją systemu operacyjnego. Audytor jest rolą systemu operacyjnego. |
Rejestrujący się |
Odczyt Rejestrowanie się |
Rejestrujący się to klienci, którzy są uprawnieni do żądania certyfikatów od urzędu certyfikacji. To nie jest rola urzędu certyfikacji. |
Wszystkie role urzędu certyfikacji mogą przypisywać i modyfikować Administratorzy lokalni, Administratorzy przedsiębiorstwa i Administratorzy domeny. W przypadku urzędów certyfikacji przedsiębiorstwa administratorzy lokalni, administratorzy przedsiębiorstwa i administratorzy domeny są domyślnie administratorami urzędu certyfikacji. Tylko administratorzy lokalni są domyślnie administratorami autonomicznego urzędu certyfikacji. Jeśli autonomiczny urząd certyfikacji zostanie zainstalowany na serwerze przyłączonym do domeny usługi Active Directory, administratorami urzędu certyfikacji będą także administratorzy domeny.
Role administratora urzędu certyfikacji i menedżera certyfikatów można przypisywać użytkownikom usługi Active Directory lub użytkownikom lokalnym w Menedżerze kont zabezpieczeń na komputerze lokalnym, który jest bazą danych kont zabezpieczeń lokalnych. Zalecane jest przypisywanie ról do kont grup, a nie do kont poszczególnych użytkowników.
Rolami urzędu certyfikacji są tylko Administrator urzędu certyfikacji, Menedżer certyfikatów, Audytor oraz Operator kopii zapasowych. Pozostali użytkownicy opisani w tabeli są związani z administrowaniem opartym na rolach i należy zapoznać się z nimi przed przystąpieniem do przypisywania ról urzędu certyfikacji.
Tylko role Administrator urzędu certyfikacji i Menedżer certyfikatów przypisuje się za pomocą przystawki Urząd certyfikacji. Aby zmienić uprawnienia danego użytkownika lub grupy, należy danemu użytkownikowi lub grupie zmienić uprawnienia zabezpieczeń, członkostwa w grupach lub prawa użytkownika.
Aby ustawić uprawnienia zabezpieczeń urzędu certyfikacji dla ról Administrator urzędu certyfikacji i Menedżer certyfikatów |
Otwórz przystawkę Urząd certyfikacji.
W drzewie konsoli kliknij nazwę urzędu certyfikacji.
W menu Akcja kliknij polecenie Właściwości.
Kliknij kartę Zabezpieczenia i określ uprawnienia zabezpieczeń.
Role i działania
Z każdą urzędu certyfikacji rolą jest skojarzona określona lista zadań administrowania urzędem certyfikacji. W poniższej tabeli przedstawiono listę wszystkich zadań administrowania urzędem certyfikacji wraz z rolami, w ramach których można je wykonywać.
Działanie | Administrator urzędu certyfikacji | Menedżer certyfikatów | Audytor | Operator kopii zapasowych | Administrator lokalny | Uwagi |
---|---|---|---|---|---|---|
Instalowanie urzędów certyfikacji |
|
|
|
|
X |
|
Konfigurowanie zasad i modułów zakończenia |
X |
|
|
|
|
|
Zatrzymywanie i uruchamianie Usług certyfikatów w usłudze Active Directory (AD CS) |
X |
|
|
|
|
|
Konfigurowanie rozszerzeń |
X |
|
|
|
|
|
Konfigurowanie ról |
X |
|
|
|
|
|
Odnawianie kluczy urzędu certyfikacji |
|
|
|
|
X |
|
Definiowanie agentów odzyskiwania kluczy |
X |
|
|
|
|
|
Konfigurowanie ograniczeń menedżera certyfikatów |
X |
|
|
|
|
|
Usuwanie pojedynczych wierszy z bazy danych urzędu certyfikacji |
X |
|
|
|
|
|
Usuwanie wielu wierszy z bazy danych urzędu certyfikacji (usuwanie zbiorcze) |
X |
X |
|
|
|
Użytkownik musi być jednocześnie administratorem urzędu certyfikacji i menedżerem certyfikatów. To działanie nie może zostać wykonane po wymuszeniu separacji ról. |
Włączanie separacji ról |
|
|
|
|
X |
|
Wystawianie i zatwierdzanie certyfikatów |
|
X |
|
|
|
|
Odrzucanie certyfikatów |
|
X |
|
|
|
|
Odwoływanie certyfikatów |
|
X |
|
|
|
|
Ponowne aktywowanie certyfikatów wstrzymanych |
|
X |
|
|
|
|
Odnawianie certyfikatów |
|
X |
|
|
|
|
Włączanie, publikowanie i konfigurowanie harmonogramów list odwołania certyfikatów (CRL) |
X |
|
|
|
|
|
Odzyskiwanie zarchiwizowanych kluczy |
|
X |
|
|
|
Zaszyfrowaną strukturę danych klucza z bazy danych urzędu certyfikacji może pobierać tylko menedżer certyfikatów. Do odszyfrowania struktury danych klucza i wygenerowania pliku PKCS#12 jest niezbędny klucz prywatny prawidłowego agenta odzyskiwania kluczy. |
Konfigurowanie parametrów inspekcji |
|
|
X |
|
|
Domyślnie prawo użytkownika do inspekcji systemu ma administrator lokalny. |
Dzienniki inspekcji |
|
|
X |
|
|
Domyślnie prawo użytkownika do inspekcji systemu ma administrator lokalny. |
Wykonywanie kopii zapasowej systemu |
|
|
|
X |
|
Domyślnie prawo użytkownika do wykonywania kopii zapasowej systemu ma administrator lokalny. |
Przywracanie systemu |
|
|
|
X |
|
Domyślnie prawo użytkownika do wykonywania kopii zapasowej systemu ma administrator lokalny. |
Odczytywanie bazy danych urzędu certyfikacji |
X |
X |
X |
X |
|
Domyślnie prawa użytkownika do inspekcji systemu i wykonywania kopii zapasowej systemu ma administrator lokalny. |
Odczytywanie informacji konfiguracyjnych urzędu certyfikacji |
X |
X |
X |
X |
|
Domyślnie prawa użytkownika do inspekcji systemu i wykonywania kopii zapasowej systemu ma administrator lokalny. |
Uwagi dodatkowe
-
Rejestrujący się mogą odczytywać właściwości urzędu certyfikacji i listy odwołania certyfikatów (CRL) oraz mogą żądać certyfikatów. W przypadku urzędu certyfikacji przedsiębiorstwa użytkownik musi mieć uprawnienia do odczytu i rejestrowania się w szablonie certyfikatu, aby żądać certyfikatu. Role Administrator urzędu certyfikacji, Menedżer certyfikatów, Audytor i Operator kopii zapasowych mają niejawne uprawnienia do odczytu.
-
Audytor ma prawo użytkownika do inspekcji systemu.
-
Operator kopii zapasowych ma prawo użytkownika do wykonywania kopii zapasowej systemu. Dodatkowo operator kopii zapasowych ma możliwość uruchamiania i zatrzymywania Usług certyfikatów w usłudze Active Directory (AD CS).
Przypisywanie ról
Administrator danego urzędu certyfikacji przypisuje użytkownikom poszczególne role modelu administrowania opartego na rolach, stosując ustawienia zabezpieczeń wymagane przez daną rolę do konta użytkownika. Administrator urzędu certyfikacji może przypisać użytkownikowi wiele ról, ale urząd certyfikacji jest lepiej zabezpieczony, gdy każdemu użytkownikowi przypada tylko jedna rola. Gdy zostanie użyta taka strategia delegowania, to w przypadku naruszenia bezpieczeństwa konta użytkownika na zagrożenia jest narażona mniejsza liczba zadań urzędu certyfikacji.
Zadania administratora
Zgodnie z domyślnym ustawieniem instalacyjnym autonomicznego urzędu certyfikacji administratorami takiego urzędu są członkowie lokalnej grupy Administratorzy. Zgodnie z domyślnym ustawieniem instalacyjnym urzędu certyfikacji przedsiębiorstwa administratorami takiego urzędu są członkowie lokalnych grup Administratorzy, Administratorzy przedsiębiorstwa i Administratorzy domeny. Aby ograniczyć możliwości tych kont, należy je usunąć z ról Administrator urzędu certyfikacji i Menedżer certyfikatów po przypisaniu wszystkich ról urzędu certyfikacji.
Zaleca się, aby konta grup, którym zostały przypisane role Administrator urzędu certyfikacji i Menedżer certyfikatów, nie były członkami lokalnej grupy Administratorzy. Ponadto role urzędu certyfikacji powinny być przypisywane do kont grup, a nie do kont poszczególnych użytkowników.
Uwaga | |
Do odnawiania certyfikatu urzędu certyfikacji jest wymagane członkostwo w lokalnej grupie Administratorzy w urzędzie certyfikacji. Członkowie tej grupy mogą przejąć władzę administracyjną nad wszystkimi rolami urzędu certyfikacji. |