Benötigte Windows-Sicherheitsberechtigungen für den Registrierungsdienst für Netzwerkgeräte (NDES)

Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die NDES Komponenten.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Das Dienstkonto, unter welchem der NDES-Dienst betrieben wird (Die Identität des IIS Anwendungspools) benötigt folgende Rechte für eine einwandfreie Funktion:

Auf der Zertifizierungsstelle…

  • Access this Computer over the Network (SeNetworkLogonRight) auf der Zertifizierungsstelle.

Auf dem NDES-Server…

  • Impersonate a Client after Authentication (SeImpersonatePrivilege).
  • Log on as a Batch Job (SeBatchLogonRight), wenn es sich um ein Domänenkonto handelt oder…
  • Log on as a Service (SeServiceLogonRight), wenn es sich um einen Group Managed Service Account (gMSA) handelt.

Details: SeNetworkLogonRight

Das NDES-Dienstkonto benötigt das seNetworkLogonRight auf dem Zertifizierungsstellen-Computer. In der Standardeinstellung wird dies über den Eintrag "Everyone" sichergestellt.

Wird das seNetworkLogonRight nicht vergeben, wird sich der NDES Server wie im Artikel "Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot be started (0x80004005). Unspecified error"" beschrieben verhalten.

Details: SeImpersonatePrivilege

Das seImpersonatePrivilege muss entweder für das NDES-Dienstkonto, oder für die Gruppe IIS_IUSRS auf dem NDES-Server gesetzt werden. In der Standardeinstellung wird dies über den Eintrag "IIS_IUSRS" sichergestellt.

Wird das SeImpersonatePrivilege nicht vergeben, wird sich der NDES Server wie im Artikel "Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 500 fehl" beschrieben verhalten.

Weiterführende Links:

Externe Quellen