In der Standardeinstellung replizieren alle Domänenmitglieder durch den Autoenrollment Prozess automatisch das Public Key Services Objekt er Active Directory Gesamtstruktur. Die Auslöser hierfür sind:
- Bei Anmeldung des Benutzers (bei Computern, wenn sich das Computerkonto anmeldet, also beim Systemstart)
- Per Timer alle 8 Stunden.
- Bei einer Aktualisierung der Gruppenrichtlinien, vorausgesetzt, es gab eine Änderung.
Möchte man nicht darauf warten, bis der Autoenrollment automatisch angestoßen wird, kann man ihn auch manuell starten. Die verschiedenen Wege, den Autoenrollment Prozess auszuführen, werden nachfolgend beschrieben.
Der Autoenrollment Prozess kann mit folgendem Kommandozeilenbefehl gestartet werden. Er startet den Prozess für den Computerkontext und benötigt daher erhöhte Rechte (Run as Administrator).
certutil -pulse
Für den Benutzerkontext kann der Autoenrollment-Prozess mit dem -user Argument gestartet werden.
certutil -pulse -user
Auch die Aktualisierung der Gruppenrichtlinie bewirkt das Auslösen des Autoenrollment Prozesses – jeodoch nur, wenn sich eine Änderung der Gruppenrichtlinie ereignet hat. Führt man den gpupdate Befehl mit dem Schalter /force aus, bewirkt dies, dass alle Gruppenrichtlinien neu eingelesen werden, was vom System als Änderung gewertet wird.
gpupdate /force
Entsprechend wird ein Ereignis generiert, welches dies bestätigt.
Weiterführende Links:
- Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)
- Den Autoenrollment Prozess für den angemeldeten Benutzer programmatisch auslösen
- Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)
Deutsch 
English
5 Gedanken zu „Manuelles Ausführen des Autoenrollment Prozesses“
Kommentare sind geschlossen.