Remove From My Forums

Zertifikate per GPO verteilen

Frage
0

Anmelden

Moin,

wie kann ich selbsterzeugte Zertifikate per GPO von einem Windows Server 2003 verteilen?
Ich möchte es unter Zertifikate (lokaler Computer), Vertraute Herausgeber importieren.

Die GPOs unter 2003 geben diesen Ort aber leider nicht vor.Unter Richlinien für öffentliche Schlüssel gibt es keine vertraute Herausgeber.

Gibt es eine Möglichkeit, die GPOs zu ergänzen?VG

Karsten

Dienstag, 23. Juli 2013 12:44

Antworten

|

Zitieren

Antworten

1

Anmelden
Der Workaround, da die GPMC nicht in ihrer Funktion erweitert werden kann, ist:

Eine aktuelle GPMC.

Die gibt es nur auf einem neueren Operatingsystem. Installiere dir eine VM, GPMC aus den Features hinzufügen, fertig.

Du kannst es alternativ mit einem Computerstartup Script und certutil verteilen. Verlierst dabei aber das Management der Zertifikate. Wenn du das Zert per GPO verteilst und es aus der GPO wieder entfernst, wird es auch auf den CLients entfernt. Das müsstest du in deinem Script berücksichtigen. Genauso, wie den Runonce etc.

Tschö
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
- Als Antwort vorgeschlagen Norbert-FehlauerModerator Donnerstag, 25. Juli 2013 07:54
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Dienstag, 30. Juli 2013 09:49
Dienstag, 23. Juli 2013 13:26

Antworten

|

Zitieren
0

Anmelden
Hi,

Mit der GPMC von 2003 geht das nicht. Dazu brauchst du mindestens die GPMC von/auf Vista. Nachrüsten kannst du in der alten GPMC nichts. ;)

Siehe auch hier:

http://www.wsus.de/wsus_package_publisher

Das Zertifikat muss an zwei Stellen in das GPO importiert werden. Auf der folgenden Abblidung sind die beiden zu sehen (der Übersetzungsbug aus dem Windows Server 2008 R2 ist auch korrigiert).

Achtung! Um das Zertifikat korrekt an die beiden Stellen hinzufügen zu können, muss man eine GPMC (Group Policy Management Console) von mind. VISTA oder höher verwenden! Die GPMC von Windows Server 2003 oder Windows XP reicht hier nicht aus!

Bye

Norbert
- Bearbeitet Norbert-FehlauerModerator Dienstag, 23. Juli 2013 12:59 Link
- Als Antwort vorgeschlagen Norbert-FehlauerModerator Donnerstag, 25. Juli 2013 07:54
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Dienstag, 30. Juli 2013 09:49
Dienstag, 23. Juli 2013 12:56

Antworten

|

Zitieren

Moderator
0

Anmelden
Es ist auch noch ein Server2008R2 als Member Server im EInsatz.

Kann ich den dafür nehmen? Ich war immer der Meinung, dass ich den DC für die Gruppenrichtilinienverwaltung benutzen muss?

Ja, du installierst auf dem 2008 R2 die Gruppenrichtlinienverwaltung (Features) und editierst aber dann nur noch auf dem 2008 R2 die Gruppenrichtlinien (alle und immer).

http://technet.microsoft.com/de-de/library/cc725932.aspx

Bye Norbert
- Als Antwort vorgeschlagen Norbert-FehlauerModerator Donnerstag, 25. Juli 2013 07:54
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Dienstag, 30. Juli 2013 09:49
Dienstag, 23. Juli 2013 15:04

Antworten

|

Zitieren

Moderator

Alle Antworten

0

Anmelden
Hi,

Mit der GPMC von 2003 geht das nicht. Dazu brauchst du mindestens die GPMC von/auf Vista. Nachrüsten kannst du in der alten GPMC nichts. ;)

Siehe auch hier:

http://www.wsus.de/wsus_package_publisher

Das Zertifikat muss an zwei Stellen in das GPO importiert werden. Auf der folgenden Abblidung sind die beiden zu sehen (der Übersetzungsbug aus dem Windows Server 2008 R2 ist auch korrigiert).

Achtung! Um das Zertifikat korrekt an die beiden Stellen hinzufügen zu können, muss man eine GPMC (Group Policy Management Console) von mind. VISTA oder höher verwenden! Die GPMC von Windows Server 2003 oder Windows XP reicht hier nicht aus!

Bye

Norbert
- Bearbeitet Norbert-FehlauerModerator Dienstag, 23. Juli 2013 12:59 Link
- Als Antwort vorgeschlagen Norbert-FehlauerModerator Donnerstag, 25. Juli 2013 07:54
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Dienstag, 30. Juli 2013 09:49
Dienstag, 23. Juli 2013 12:56

Antworten

|

Zitieren

Moderator
0

Anmelden

Jupp, das ist genau mein Problem!

Gbt es denn einen anderen Workaround , um das Zertifikat genau an diesen Ort auf den Clients zu verteilen?

Dienstag, 23. Juli 2013 13:22

Antworten

|

Zitieren
1

Anmelden

Du willst sagen, es gibt in deinem gesamten Netzwerk KEIN Vista oder neuer als Betriebssystem? Kann ich mir ja kaum vorstellen. Und selbst wenn, wirst du für eine vernünftige Lösung nicht drum herumkommen. Notfalls tuts ja ne VM.

Bye

Norbert

Dienstag, 23. Juli 2013 13:24

Antworten

|

Zitieren

Moderator
1

Anmelden
Der Workaround, da die GPMC nicht in ihrer Funktion erweitert werden kann, ist:

Eine aktuelle GPMC.

Die gibt es nur auf einem neueren Operatingsystem. Installiere dir eine VM, GPMC aus den Features hinzufügen, fertig.

Du kannst es alternativ mit einem Computerstartup Script und certutil verteilen. Verlierst dabei aber das Management der Zertifikate. Wenn du das Zert per GPO verteilst und es aus der GPO wieder entfernst, wird es auch auf den CLients entfernt. Das müsstest du in deinem Script berücksichtigen. Genauso, wie den Runonce etc.

Tschö
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
- Als Antwort vorgeschlagen Norbert-FehlauerModerator Donnerstag, 25. Juli 2013 07:54
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Dienstag, 30. Juli 2013 09:49
Dienstag, 23. Juli 2013 13:26

Antworten

|

Zitieren
0

Anmelden

ich habe eine SBS2003 Domäne, über die die GPOs verwaltet werden. Es ist auch noch ein Server2008R2 als Member Server im EInsatz.

Kann ich den dafür nehmen? Ich war immer der Meinung, dass ich den DC für die Gruppenrichtilinienverwaltung benutzen muss?

Karsten

Dienstag, 23. Juli 2013 14:30

Antworten

|

Zitieren
0

Anmelden

Kaum macht man es richtig , dann funktioniert es auch!

Ich habe die GPMC auf dem 2008R2 installiert und von dort aus die GPOs angepasst.
Jetzt werden die Zertifikate auch in den richtigen Ordner installiert.

Danke für die Hilfe!

Karsten

Dienstag, 23. Juli 2013 15:04

Antworten

|

Zitieren
0

Anmelden
Es ist auch noch ein Server2008R2 als Member Server im EInsatz.

Kann ich den dafür nehmen? Ich war immer der Meinung, dass ich den DC für die Gruppenrichtilinienverwaltung benutzen muss?

Ja, du installierst auf dem 2008 R2 die Gruppenrichtlinienverwaltung (Features) und editierst aber dann nur noch auf dem 2008 R2 die Gruppenrichtlinien (alle und immer).

http://technet.microsoft.com/de-de/library/cc725932.aspx

Bye Norbert
- Als Antwort vorgeschlagen Norbert-FehlauerModerator Donnerstag, 25. Juli 2013 07:54
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Dienstag, 30. Juli 2013 09:49
Dienstag, 23. Juli 2013 15:04

Antworten

|

Zitieren

Moderator
0

Anmelden

Hallo,

ist die Thematik abgeklärt?

Wenn ja, bitte auch die Beiträge "Als Antwort markieren", die Dir geholfen haben.

Danke und Gruss,
Raul
Raul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Donnerstag, 25. Juli 2013 07:06

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Zertifikate per GPO verteilen

Frage

Antworten

Alle Antworten