none
Разделение прав по выдачи смарткарт RRS feed

  • Вопрос

  • Имеется домен Windows Server 2003, несколько филиалов в этом домене, центр сертификации.
    В каждом филиале сидит человек, который имеет право выдавать смарткарты (Enrollment Agent).
    По-умолчанию, этот человек может выдать смарткарту любому пользователю из домена.

    Как ограничить выдачу смарткарт только пользователям из своего филиала? Т.е. чтобы человек, обладающий ролью Enrollment Agent мог выдать смарткарту только тому пользователю, который состоит в определённой группе безопасности.

    Или же есть ещё какие-то варианты разграничения выдачи смарткарт?

    23 апреля 2012 г. 11:54

Ответы

  • Как ограничить выдачу смарткарт только пользователям из своего филиала? Т.е. чтобы человек, обладающий ролью Enrollment Agent мог выдать смарткарту только тому пользователю, который состоит в определённой группе безопасности.

     Поднять в каждом филиале дочерний домен, создать отдельные шаблоны и выдать на них права агентам и пользователям из этих доменов.

    Или же есть ещё какие-то варианты разграничения выдачи смарткарт?

    В Server 2008R2 - Restricted Enrollment Agent. В версии 2003 - более никаких.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html



    24 апреля 2012 г. 16:02
    Модератор

Все ответы

  • Как ограничить выдачу смарткарт только пользователям из своего филиала? Т.е. чтобы человек, обладающий ролью Enrollment Agent мог выдать смарткарту только тому пользователю, который состоит в определённой группе безопасности.

     Поднять в каждом филиале дочерний домен, создать отдельные шаблоны и выдать на них права агентам и пользователям из этих доменов.

    Или же есть ещё какие-то варианты разграничения выдачи смарткарт?

    В Server 2008R2 - Restricted Enrollment Agent. В версии 2003 - более никаких.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html



    24 апреля 2012 г. 16:02
    Модератор
  • Только городить 2 домена здесь не надо (это плохая затея). Всё можно сделать и в одном домене.

    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki

    27 апреля 2012 г. 17:35