Om du ska använda centrala autentiseringsuppgifter måste alla domänkontrollanter i organisationen använda Windows Server 2008 R2, Windows Server 2008 eller Windows Server 2003 Service Pack 1 (SP1). Dessutom måste klientdatorer som används för centrala autentiseringsuppgifter använda Windows 7, Windows Vista, Windows XP Service Pack 2 (SP2), Windows Server 2003 SP1 eller Windows Server 2008.

Om du har minst en domänkontrollant med Windows Server 2008 R2 eller Windows Server 2008 i Active Directory-miljön kan du använda grupprincipen för att konfigurera centrala autentiseringsuppgifter.

Om du inte har en domänkontrollant med Windows Server 2008 R2 eller Windows Server 2008 måste du genomföra följande steg innan du kan konfigurera centrala autentiseringsuppgifter med grupprincipen:

  1. Förbereda AD DS (Active Directory Domain Services). AD DS måste förberedas för lagring av användarnas certifikat, nycklar och huvudnycklarna för DPAPI (Data Protection Application Programming Interface).

  2. Exkludera kataloger i centrala profiler. Om centrala profiler används måste vissa kataloger exkluderas för att undvika konflikter med autentiseringsuppgifter.

  3. Installera ADM-mallen för grupprincip. Centrala autentiseringsuppgifter aktiveras genom ADM-mallen för gruppolicy som anger rätt registervärden på en klientdator.

Mer information om de här förberedande stegen i nätverk med domänkontrollanter som fortfarande kör Windows Server 2003, finns på sidan om konfigurering och felsökning av certifikattjänstklienten (https://go.microsoft.com/fwlink/?LinkID=85332). Sidan kan vara på engelska.

Minimikravet för att kunna slutföra proceduren är att du är medlem i någon av grupperna Företagsadministratörer, Domänadministratörer eller motsvarande. Mer information finns i Implementera rollbaserad administration.

Så här konfigurerar du centrala autentiseringsuppgifter för en domän med hjälp av gruppolicy:
  1. Klicka på Start, peka på Administrativa verktyg och klicka sedan på Grupprinciphanteringen på en domänkontrollant med Windows Server 2008 R2 eller Windows Server 2008.

  2. Dubbelklicka på Grupprincipobjekt i den skog och domän i konsolträdet som innehåller grupprincipobjektet Standarddomänprincip som du vill redigera.

  3. Högerklicka på grupprincipobjektet Standardprincipdomän och klicka sedan på Redigera.

  4. I GPMC (Group Policy Management Console) går du till Användarkonfiguration, Windows-inställningar, Säkerhetsinställningar och klickar sedan på Principer för offentliga nycklar.

  5. Dubbelklicka på Certifikattjänstklienten - Centrala autentiseringsuppgifter.

  6. Klicka på Aktiverad för att konfigurera centrala autentiseringsuppgifter eller på Inaktiverad om centrala autentiseringsuppgifter inte ska användas.

  7. Om du valde Aktiverad kan du också anpassa följande alternativ:

    • Längsta tombstone-livstid i dagar för autentiseringsuppgifter. Du kan definiera hur lång tid de centrala autentiseringsuppgifterna i AD DS ska finnas kvar för ett certifikat eller en nyckel som har tagits bort lokalt.

    • Maximalt antal centrala autentiseringsuppgifter per användare. Du kan definiera högsta antal certifikat eller nycklar som kan användas med de centrala autentiseringsuppgifterna.

    • Maximal storlek (i byte) för de centrala autentiseringsuppgifterna. Du kan begränsa centrala autentiseringsuppgifter som överskrider angiven storlek.

    • Använd centrala autentiseringsuppgifter för lagrade användarnamn och lösenord. Du kan inkludera eller exkludera lagrade användarnamn och lösenord från principen centrala autentiseringsuppgifter.

  8. Spara inställningarna genom att klicka på OK.

Standardalternativen för centrala autentiseringsuppgifter i steg 7 kan användas för många organisationer. Om en organisation har ett stort antal användare och autentiseringsuppgifter kan centrala autentiseringsuppgifter påverka storleken på Active Directory-databasen. Mer information som kan hjälpa till att uppskatta påverkan på Active Directory-databasen finns på sidan om konfigurering och felsökning av certifikattjänstklienter (https://go.microsoft.com/fwlink/?LinkID=85332). Sidan kan vara på engelska.


Innehåll