Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die NDES Komponenten.
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".
Benötigte Berechtigungen
Das Dienstkonto, unter welchem der NDES-Dienst betrieben wird (Die Identität des IIS Anwendungspools) benötigt folgende Rechte für eine einwandfreie Funktion:
Auf der Zertifizierungsstelle…
- Access this Computer over the Network (SeNetworkLogonRight) auf der Zertifizierungsstelle.
Auf dem NDES-Server…
- Impersonate a Client after Authentication (SeImpersonatePrivilege, (zu deutsch "Annehmen der Clientidentität nach Authentifizierung").
- Log on as a Batch Job (SeBatchLogonRight, zu deutsch "Anmelden als Stapenverarbeitungsauftrag"), wenn es sich um ein Domänenkonto handelt oder…
- Log on as a Service (SeServiceLogonRight, zu deutsch "Anmelden als Dienst"), wenn es sich um einen Group Managed Service Account (gMSA) handelt.
Details: SeNetworkLogonRight
Das NDES-Dienstkonto benötigt das seNetworkLogonRight auf dem Zertifizierungsstellen-Computer. In der Standardeinstellung wird dies über den Eintrag "Everyone" sichergestellt.
Wird das seNetworkLogonRight nicht vergeben, wird sich der NDES Server wie im Artikel "Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot be started (0x80004005). Unspecified error"" beschrieben verhalten.
Details: SeImpersonatePrivilege
Das seImpersonatePrivilege muss entweder für das NDES-Dienstkonto, oder für die Gruppe IIS_IUSRS auf dem NDES-Server gesetzt werden. In der Standardeinstellung wird dies über den Eintrag "IIS_IUSRS" sichergestellt.
Wird das SeImpersonatePrivilege nicht vergeben, wird sich der NDES Server wie im Artikel "Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 500 fehl" beschrieben verhalten.
Weiterführende Links:
- Den Registrierungsdienst für Netzwerkgeräte (NDES) ohne Enterprise Administrator Berechtigungen installieren
- Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren
Externe Quellen
- Active Directory administrative tier model (Microsoft)
Deutsch 
English
4 Gedanken zu „Benötigte Windows-Sicherheitsberechtigungen für den Registrierungsdienst für Netzwerkgeräte (NDES)“
Kommentare sind geschlossen.