Vor der Verwendung der Microsoft-Zertifizierungsstelle und der vorkonfigurierten Vorlage wird empfohlen, Zugriff auf die Microsoft Active Directory-Zertifikatsdienste mit der geringsten Berechtigung zu konfigurieren, indem Sie ein Active Directory-Benutzerkonto als eingeschränktes Dienstkonto verwenden.

Voraussetzungen

  • Erstellen Sie ein Benutzerkonto in Active Directory mit Domänenbenutzermitgliedschaft. Beispiel: svc-vcf-ca.

Prozedur

  1. Melden Sie sich mithilfe eines RDP-Clients (Remotedesktopprotokoll) beim Server der Microsoft-Zertifizierungsstelle an.

    FQDN

    Active Directory-Host

    Benutzer

    Active Directory-Administrator

    Kennwort

    ad_admin_password

  2. Konfigurieren Sie Zugriff mit der geringsten Berechtigung für ein Benutzerkonto in der Microsoft-Zertifizierungsstelle.
    1. Klicken Sie auf Starten > Ausführen, geben Sie certsrv.msc ein und klicken Sie auf OK.
    2. Klicken Sie mit der rechten Maustaste auf den Server der Zertifizierungsstelle und klicken Sie auf Eigenschaften.
    3. Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen.
    4. Geben Sie den Namen des Benutzerkontos ein und klicken Sie auf OK.
    5. Konfigurieren Sie die Berechtigungen im Abschnitt Berechtigungen für ... und klicken Sie auf OK.

      Einstellung

      Wert (Zulassen)

      Lesen

      Deaktiviert

      Zertifikate ausgeben und verwalten

      Ausgewählt

      CA verwalten

      Deaktiviert

      Zertifikate anfordern

      Ausgewählt

  3. Konfigurieren Sie Zugriff mit der geringsten Berechtigung für das Benutzerkonto in der Vorlage der Microsoft-Zertifizierungsstelle.
    1. Klicken Sie auf Starten > Ausführen, geben Sie certtmpl.msc ein und klicken Sie auf OK.
    2. Klicken Sie mit der rechten Maustaste auf die VMware-Vorlage und klicken Sie anschließend auf Eigenschaften.
    3. Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen.
    4. Geben Sie das Dienstkonto svc-vcf-ca ein und klicken Sie auf OK.
    5. Konfigurieren Sie die Berechtigungen im Abschnitt Berechtigungen für ... und klicken Sie auf OK.

      Einstellung

      Wert (Zulassen)

      Vollständige Kontrolle

      Deaktiviert

      Lesen

      Ausgewählt

      Schreiben

      Deaktiviert

      Registrieren

      Ausgewählt

      Automatisch registrieren

      Deaktiviert