Bei der Installation einer Active Directory integrierten Zertifizierungsstelle erscheint die Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"

Folgendes Szenario angenommen:

  • Es wird eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) per Windows PowerShell installiert.
  • Für die Installation der Zertifizierungsstelle werden delegierte Berechtigungen verwendet. Der installierende Benutzer ist also nicht Mitglied der Gruppe "Enterprise Administrators".
  • Nach Ausführen des Rollenkonfigurations-Assistenten wird eine oder mehrere der folgenden Fehlermeldungen auf der Kommandozeile ausgegeben:
Setup could not add the Certification Authority's computer account to the Pre-Windows 2000 Compatible Access security group. Certificate managers Restrictions feature will not work correctly on this Certification Authority. To fix this, an administrator must manually add the Certification's Authority's computer account to the Pre-Windows 2000 Compatible Access security group in Active Directory. Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Warning: Setup could not add the certification authority’s computer account to the cert Publishers Security Group. This Certification Authority will not be able to publish certificates in Active Directory. To fix this, an administrator must manually add the Certification Authority’s computer account to the Cert Publishers security group in Active Directory.  Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)

Wenn die Installation delegiert erfolgt, muss der angemeldete Benutzer das Recht haben, das Computerobjekt des Zertifizierungsstellen-Computers in folgende Sicherheitsgruppen der Active Directory Gesamtstruktur aufzunehmen:

  • Pre-Windows 2000 Compatible Access
  • Cert Publishers

Die Gruppenmitgliedschaften können jedoch nachträglich durch einen entsprechend berechtigten Benutzer eingerichtet werden. Auf die Mitgliedschaft in der Pre-Windows 2000 Compatible Access Sicherheitsgruppe kann verzichtet werden, wenn keine eingeschränkten Zertifikatmanager eingesetzt werden.

Bitte beachten, dass die Gruppenmitgliedschaften erst nach Neuanmeldung des Benutzerkontos – in diesem Fall des Computerkontos und somit erst nach Neustart des Computers angewendet werden.

Sofern LDAP-Sperrlistenverteilpunkte konfiguriert sind, wird deren Veröffentlichung solange mit der gleichen Fehlermeldung fehlschlagen, bis die Zertifizierungsstelle Mitglied der "Cert Publishers" Sicherheitsgruppe ist und die Gruppenmitgliedschaft durch Neustart des Servers angewendet wurde.

Weiterführende Links:

Externe Quellen:

Ein Gedanke zu „Bei der Installation einer Active Directory integrierten Zertifizierungsstelle erscheint die Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"“

Kommentare sind geschlossen.