Die Installation der Standard-Zertifikatvorlagen schlägt fehl mit Fehlermeldung "This security ID may not be assigned as the owner of this object."

Folgendes Szenario angenommen:

  • Es soll erstmalig eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) im Netzwerk installiert werden.
  • Die Rechte für die Installation der Zertifizierungsstelle wurden aus Sicherheitsgründen auf eine separate Sicherheitsgruppe oder ein separates Konto delegiert, sodass keine Anmeldung als Enterprise Administrator erforderlich ist. Andersherum formuliert: Der verwendete Benutzer ist nicht Mitglied der Gruppe "Enterprise Administrators" in der Active Directory Gesamtstruktur.
  • Da es sich um die erste Zertifizierungsstelle im Netzwerk handelt, sind noch keine Standard-Zertifikatvorlagen im Active Directory installiert. Beim Öffnen der Verwaltungskonsole für Zertifikatvorlagen (certtmpl.msc) wird man aufgefordert, diese zu installieren.
  • Die Installation schlägt mit folgender Fehlermeldung fehl:
Windows could not install the new certificate templates. This security ID may not be assigned as the owner of this object.

Beim Versuch, die Standard-Zertifikatvorlagen per certutil zu installieren, kommt eine vergleichbare Fehlermeldung:

CertUtil: -InstallDefaultTemplates command FAILED: 0x8007051b (WIN32: 1307 ERROR_INVALID_OWNER)
CertUtil: This security ID may not be assigned as the owner of this object.

Ursache

Die Installation der Standard-Zertifikatvorlagen muss einmalig durch ein Konto mit Enterprise Administrator Rechten vorgenommen werden, da für das Erstellen der Standard-Zertifikatvorlagen das Recht "Restore Files and Directories" auf Domänencontrollern benötigt wird.

Die Erstellung der Standard-Zertifikatvorlagen kann mit folgendem Befehl vorgenommen werden:

certutil -installdefaulttemplates

Dieser Befehl kann auch von einem Domänencontroller ohne Installation zusätzlicher Software ausgeführt werden, da er zum Standard-Lieferumfang des Windows-Betriebssystems gehört.

Hierbei ist allerdings darauf zu achten, dass der Befehl mit erhöhten Rechten (Run as Administrator) ausgeführt wird, da ansonsten die Fehlermeldung ERROR_DS_INSUFF_ACCESS_RIGHTS gemeldet wird.

CertUtil: -InstallDefaultTemplates command FAILED: 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
CertUtil: Insufficient access rights to perform the operation.

Weiterführende Links:

Externe Quellen