您可以使用此程序來設定 Active Directory(R) 憑證服務 (AD CS) 用來當作使用者憑證基礎的憑證範本,而這些使用者憑證是網域使用者群組成員註冊的使用者憑證。

若要完成此程序,至少需要根網域的 Enterprise Admins 群組與 Domain Admins 群組的成員資格。

設定憑證範本與自動註冊

  1. 在安裝 Active Directory 憑證服務的電腦上,依序按一下 [開始][執行],輸入 mmc,然後按一下 [確定]

  2. [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。此時會開啟 [新增或移除嵌入式管理單元] 對話方塊。

  3. [可用的嵌入式管理單元] 中,按兩下 [憑證授權單位]。選取要管理的憑證授權單位 (CA),然後按一下 [完成]。此時會關閉 [憑證授權單位] 對話方塊,返回 [新增或移除嵌入式管理單元] 對話方塊。

  4. [可用的嵌入式管理單元] 中,按兩下 [憑證範本],然後按一下 [確定]

  5. 在主控台樹狀目錄中,按一下 [憑證範本]。所有的憑證範本都會顯示在詳細資料窗格中。

  6. 在詳細資料窗格中,按一下 [使用者] 範本。

  7. [執行] 功能表上,按一下 [複製範本]。此時會開啟 [複製範本] 對話方塊。選取適用於部署的範本版本,然後按一下 [確定]。此時會開啟新範本內容對話方塊。

  8. [一般] 索引標籤的 [顯示名稱] 中,輸入憑證範本的新名稱或保留預設名稱。

  9. 按一下 [安全性] 索引標籤。在 [群組或使用者名稱] 中,按一下 [網域使用者]

  10. [網域使用者的權限][允許] 之下,選取 [註冊][自動註冊] 權限核取方塊,然後按一下 [確定]

  11. 按兩下 [憑證授權單位],按兩下 CA 名稱,然後按一下 [憑證範本]。在 [執行] 功能表,指向 [新增],然後按一下 [要發出的憑證範本]。此時會開啟 [啟用憑證範本] 對話方塊。

  12. 按一下您剛才設定的憑證範本名稱,然後按一下 [確定]。例如,如果您沒有變更預設憑證範本名稱,按一下 [使用者的複本],然後按一下 [確定]

  13. 在安裝 Active Directory 網域服務 (AD DS) 的電腦上,依序按一下 [開始][執行],輸入 mmc,然後按一下 [確定]

  14. [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。此時會開啟 [新增或移除嵌入式管理單元] 對話方塊。

  15. [新增或移除嵌入式管理單元] 對話方塊的 [可用的嵌入式管理單元] 中,按兩下 [群組原則管理編輯器]。此時會開啟 [選取群組原則物件] 精靈。按一下 [瀏覽],然後選取 [預設網域原則]。依序按一下 [確定][完成],然後再按一次 [確定]

  16. 按一下 [預設網域原則]。依序開啟 [使用者設定][原則][Windows 設定][安全性設定],然後開啟 [公開金鑰原則]

  17. 在詳細資料窗格中,按兩下 [憑證服務用戶端 - 自動註冊]。此時會開啟 [憑證服務用戶端 - 自動註冊內容] 對話方塊。

  18. [憑證服務用戶端 - 自動註冊內容] 對話方塊的 [設定模型] 中,選取 [啟用]

  19. 選取 [更新到期的憑證,更新擱置中的憑證並移除撤銷的憑證] 核取方塊。

  20. 選取 [更新使用憑證範本的憑證] 核取方塊,然後按一下 [確定]

其他考量

完成此程序之後,網域使用者會在重新整理群組原則時自動註冊使用者憑證。若要重新整理群組原則,請重新啟動用戶端電腦,或在命令提示字元執行 gpupdate

確定所有適當的網域系統容器都設定為自動註冊使用者憑證,不論透過繼承上層系統容器的群組原則設定或明確的設定。

目錄