Folgendes Szenario angenommen:
- Es soll erstmalig eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) im Netzwerk installiert werden.
- Die Rechte für die Installation der Zertifizierungsstelle wurden aus Sicherheitsgründen auf eine separate Sicherheitsgruppe oder ein separates Konto delegiert, sodass keine Anmeldung als Enterprise Administrator erforderlich ist. Andersherum formuliert: Der verwendete Benutzer ist nicht Mitglied der Gruppe "Enterprise Administrators" in der Active Directory Gesamtstruktur.
- Da es sich um die erste Zertifizierungsstelle im Netzwerk handelt, sind noch keine Standard-Zertifikatvorlagen im Active Directory installiert. Beim Öffnen der Verwaltungskonsole für Zertifikatvorlagen (certtmpl.msc) wird man aufgefordert, diese zu installieren.
- Die Installation schlägt mit folgender Fehlermeldung fehl:
Windows could not install the new certificate templates. This security ID may not be assigned as the owner of this object.
Beim Versuch, die Standard-Zertifikatvorlagen per certutil zu installieren, kommt eine vergleichbare Fehlermeldung:
CertUtil: -InstallDefaultTemplates command FAILED: 0x8007051b (WIN32: 1307 ERROR_INVALID_OWNER) CertUtil: This security ID may not be assigned as the owner of this object.
Ursache
Die Installation der Standard-Zertifikatvorlagen muss einmalig durch ein Konto mit Enterprise Administrator Rechten vorgenommen werden, da für das Erstellen der Standard-Zertifikatvorlagen das Recht "Restore Files and Directories" auf Domänencontrollern benötigt wird.
Die Erstellung der Standard-Zertifikatvorlagen kann mit folgendem Befehl vorgenommen werden:
certutil -installdefaulttemplates
Dieser Befehl kann auch von einem Domänencontroller ohne Installation zusätzlicher Software ausgeführt werden, da er zum Standard-Lieferumfang des Windows-Betriebssystems gehört.
Hierbei ist allerdings darauf zu achten, dass der Befehl mit erhöhten Rechten (Run as Administrator) ausgeführt wird, da ansonsten die Fehlermeldung ERROR_DS_INSUFF_ACCESS_RIGHTS gemeldet wird.
CertUtil: -InstallDefaultTemplates command FAILED: 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS) CertUtil: Insufficient access rights to perform the operation.
Weiterführende Links:
Externe Quellen
- Delegated Installation for an Enterprise Certification Authority (Microsoft Corporation)
- Error loading default templates on new Enterprise Root CA (Microsoft TechNet Foren)