Du kan använda rollbaserad administration för att dela in certifikatutfärdaradministratörer efter olika, fördefinierade certifikatutfärdarroller, som var och en medför olika uppgifter. Roller tilldelas med hjälp av användarnas respektive säkerhetsinställningar. Du ger en användare en viss roll genom att tilldela användaren de specifika säkerhetsinställningar som gäller för rollen. En användare med en viss typ av behörighet, t.ex. Hantera certifikatutfärdare, får utföra vissa certifikatutfärdaruppgifter som en användare med en annan typ av behörighet, t.ex. Utfärda och hantera certifikat, inte får utföra.
I följande tabell beskrivs de roller, användare och grupper som kan användas för att implementera rollbaserad administration. Om du vill ange en roll för en användare eller grupp måste du tilldela motsvarande rolls säkerhetsbehörigheter, gruppmedlemskap eller användarrättigheter till användaren eller gruppen. Dessa säkerhetsbehörigheter, gruppmedlemskap och användarrättigheter används till att avgöra vilka användare som har vilka roller.
Roller och grupper | Säkerhetsbehörighet | Beskrivning |
---|---|---|
Certifikatutfärdaradministratör |
Hantera certifikatutfärdare |
Konfigurera och underhålla certifikatutfärdare. Den här certifikatutfärdarrollen ger behörighet att tilldela alla andra certifikatutfärdarroller och förnya certifikatutfärdarcertifikat. Dessa behörigheter tilldelas med hjälp av snapin-modulen Certifikatutfärdare. |
Certifikathanterare |
Utfärda och hantera certifikat |
Godkänna begäran om certifikatregistrering och certifikatåterkallande. Det här är en certifikatutfärdarroll. Ibland hänvisar man till rollen som CA officer. Dessa behörigheter tilldelas med hjälp av snapin-modulen Certifikatutfärdare. |
Ansvarig för säkerhetskopiering |
Säkerhetskopiera filer och kataloger. Återställa filer och kataloger. |
Utföra säkerhetskopiering och återställning av system. Säkerhetskopiering är en operativsystemsfunktion. |
Granskare |
Hantera gransknings- och säkerhetslogg |
Konfigurera, läsa och underhålla granskningsloggar. Granskning är en operativsystemsfunktion. Granskare är en operativsystemsroll. |
Registrerare |
Läsa Registrera |
Registrerare är klienter som kan begära certifikat från en certifikatutfärdare. Det är inte en certifikatutfärdarroll. |
Alla certifikatutfärdarroller tilldelas och modifieras av lokala Administratörer, Företagsadministratörer och Domänadministratörer. I en företagscertifikatutfärdare är lokala administratörer, företagsadministratörer och domänadministratörer automatiskt certifikatutfärdaradministratörer. I en fristående certifikatutfärdare är det endast lokala administratörer som automatiskt är certifikatutfärdaradministratörer. Om en fristående certifikatutfärdare installeras på en server som är ansluten till en Active Directory-domän blir även domänadministratörer certifikatutfärdaradministratörer.
Rollerna certifikatutfärdaradministratör och certifikathanterare kan tilldelas Active Directory-användare och lokala användare i den lokala datorns SAM (Security Accounts Manager), som fungerar som lokal databas för säkerhetskonton. Du bör alltid tilldela roller till gruppkonton snarare än till separata användarkonton.
De enda certifikatutfärdarrollerna är certifikatutfärdaradministratör, certifikathanterare, granskare och ansvarig för säkerhetskopiering. De andra användare som anges i tabellen har anknytning till rollbaserad administration och du bör känna till dessa innan du börjar tilldela certifikatutfärdarroller.
Det är endast certifikatutfärdaradministratörer och certifikathanterare som utses med snapin-modulen Certifikatutfärdare. Om du vill ändra en användares eller grupps behörigheter måste du ändra användarens säkerhetsbehörigheter, gruppmedlemskap eller användarrättigheter.
Ange certifikatutfärdarens säkerhetsbehörigheter för certifikatutfärdaradministratör och certifikathanterare |
Öppna snapin-modulen Certifikatutfärdare.
Klicka på certifikatutfärdaren i konsolträdet.
Klicka på Egenskaper på Åtgärd-menyn.
Klicka på fliken Säkerhet och ange säkerhetsbehörigheterna.
Roller och aktiviteter
För varje certifikatutfärdarroll finns en specifik lista över uppgifter för certifikatutfärdaradministration. I följande tabell anges alla uppgifter för certifikatutfärdaradministration samt de roller som de ingår i.
Aktivitet | Certifikatutfärdaradministratör | Certifikathanterare | Granskare | Ansvarig för säkerhetskopiering | Lokal administratör | Kommentarer |
---|---|---|---|---|---|---|
Installera certifikatutfärdare |
|
|
|
|
X |
|
Konfigurera princip- och stängningsmoduler |
X |
|
|
|
|
|
Stoppa och starta tjänsten AD CS (Active Directory Certificate Services) |
X |
|
|
|
|
|
Konfigurera filnamnstillägg |
X |
|
|
|
|
|
Konfigurera roller |
X |
|
|
|
|
|
Förnya certifikatutfärdarnycklar |
|
|
|
|
X |
|
Definiera nyckelåterställningsagenter |
X |
|
|
|
|
|
Konfigurera begränsningar för certifikathanterare |
X |
|
|
|
|
|
Ta bort en rad i en databas med certifikatutfärdare |
X |
|
|
|
|
|
Ta bort flera rader i en databas med certifikatutfärdare (massborttagning) |
X |
X |
|
|
|
Användaren måste vara både certifikatutfärdaradministratör och certifikathanterare. Åtgärden får inte utföras när rollseparering tillämpas. |
Aktivera rollseparering |
|
|
|
|
X |
|
Utfärda och godkänna certifikat |
|
X |
|
|
|
|
Neka certifikat |
|
X |
|
|
|
|
Återkalla certifikat |
|
X |
|
|
|
|
Återaktivera väntande certifikat |
|
X |
|
|
|
|
Förnya certifikat |
|
X |
|
|
|
|
Aktivera, publicera eller konfigurera scheman för lista över återkallade certifikat |
X |
|
|
|
|
|
Återställa arkiverade nycklar |
|
X |
|
|
|
Det är endast certifikathanterare som kan hämta krypterad nyckeldatastruktur från databasen med certifikatutfärdare. För att dekryptera nyckeldatastrukturen och generera en PKCS #12-fil krävs en privat nyckel för en giltig nyckelåterställningsagent. |
Konfigurera granskningsparametrar |
|
|
X |
|
|
Som standard har den lokala administratören användarrättigheten systemgranskning. |
Granskningsloggar |
|
|
X |
|
|
Som standard har den lokala administratören användarrättigheten systemgranskning. |
Säkerhetskopiera systemet |
|
|
|
X |
|
Som standard har den lokala administratören användarrättigheten säkerhetskopiering av system. |
Återställa systemet |
|
|
|
X |
|
Som standard har den lokala administratören användarrättigheten säkerhetskopiering av system. |
Läsa databasen med certifikatutfärdare |
X |
X |
X |
X |
|
Som standard har den lokala administratören användarrättigheterna systemgranskning och säkerhetskopiering av system. |
Läsa konfigurationsinformation om certifikatutfärdare |
X |
X |
X |
X |
|
Som standard har den lokala administratören användarrättigheterna systemgranskning och säkerhetskopiering av system. |
Ytterligare hänsyn
-
Registrerare har rätt att läsa egenskaper för certifikatutfärdare och listor över återkallade certifikat samt att begära certifikat. I en företagscertifikatutfärdare måste en användare ha läs- och registreringsbehörighet i certifikatmallen för att kunna begära certifikat. Certifikatutfärdaradministratörer, certifikathanterare, granskare och ansvariga för säkerhetskopiering har implicita läsbehörigheter.
-
Granskare har användarrättigheten systemgranskning.
-
Ansvariga för säkerhetskopiering har användarrättigheten säkerhetskopiering av system. Dessutom kan ansvariga för säkerhetskopiering starta och stoppa tjänsten AD CS (Active Directory Certificate Services).
Tilldela roller
Certifikatutfärdarens certifikatutfärdaradministratör lägger till användare för de olika roller som ingår i den rollbaserade administrationen genom att tillämpa de säkerhetsinställningar som krävs för en viss roll på användarens konto. Certifikatutfärdaradministratören kan ge en användare fler än en roll, men certifikatutfärdaren är säkrare om varje användare endast har en roll. Om man använder sig av den strategin vid delegering riskeras färre certifikatutfärdaraktiviteter om en användares konto skulle utsättas för risk.
Administratörsfrågor
Standardinstallationsinställningen för en fristående certifikatutfärdare är att certifikatutfärdaradministratörerna är medlemmar av den lokala gruppen Administratörer. Standardinstallationsinställningen för en företagscertifikatutfärdare är att certifikatutfärdaradministratörerna är medlemmar av de lokala grupperna Administratörer, Företagsadministratörer och Domänadministratörer. Du kan begränsa befogenheterna för dessa konton genom att ta bort dem från rollerna certifikatutfärdaradministratör och certifikathanterare när alla certifikatutfärdarroller tilldelats.
Gruppkonton som tilldelats rollen som certifikatutfärdaradministratör eller certifikathanterare bör inte ingå som medlemmar i gruppen för lokala Administratörer. Dessutom bör certifikatutfärdarroller endast tilldelas gruppkonton och inte enskilda användarkonton.
OBS | |
Du måste vara medlem i certifikatutfärdarens lokala grupp Administratörer för att kunna förnya ett certifikatutfärdarcertifikat. Medlemmar i den gruppen har administratörsbehörighet för alla andra certifikatutfärdarroller. |