完成此过程最低需要 Account Operators、Domain Admins、Enterprise Admins 或类似组中的成员身份。 查看有关使用适当帐户和组成员关系的详细信息,请访问
 | 将证书映射到用户帐户的步骤 |
若要打开 Active Directory 用户和计算机,请依次单击“开始”和“控制面板”,然后依次双击“管理工具”和“Active Directory 用户和计算机”。
在“查看”菜单上,选择“高级功能”。
在控制台树中,单击“用户”。
位置?
-
Active Directory 用户和计算机/domain node/用户
或者单击包含该用户帐户的文件夹。
-
Active Directory 用户和计算机/domain node/用户
在详细信息窗格中,右键单击要向其映射证书的用户,然后单击“名称映射”。
在“安全身份映射”对话框的“X.509 证书”选项卡上,单击“添加”。
键入 .cer 文件的名称和路径,该文件包含要向此用户帐户映射的证书,然后单击“打开”。
请执行下列操作之一:
-
若要将证书映射到一个帐户(一对一映射),请确认是否同时选中了“颁发者作为备用的安全标识”复选框和“主题作为备用的安全标识”复选框。
-
若要将具有相同主题的任何证书映射到用户帐户,则不管证书的颁发者如何(多对一映射),都要清除“颁发者作为备用的安全标识”复选框,并确认选中“主题作为备用的安全标识”复选框。
-
若要将具有相同颁发者的任何证书映射到用户帐户,则不管证书的主题如何(多对一映射),都要清除“主题作为备用的安全标识”复选框,并确认选中“颁发者作为备用的安全标识”复选框。
-
若要将证书映射到一个帐户(一对一映射),请确认是否同时选中了“颁发者作为备用的安全标识”复选框和“主题作为备用的安全标识”复选框。
其他注意事项
-
若要执行此过程,您必须是 Active Directory 域服务 (AD DS) 中 Account Operators 组、Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行身份”来执行此过程。
-
打开 Active Directory 用户和计算机的另一种方法是,依次单击“开始”和“运行”,然后键入 dsa.msc。
-
要映射到用户帐户的证书必须采用区别编码规则 (DER) 或 Base64 编码的二进制格式。
-
启动“安全身份映射”对话框的另一种方法是,右键单击用户帐户,然后单击“名称映射”。