Benötigte Windows-Sicherheitsberechtigungen für den Registrierungsdienst für Netzwerkgeräte (NDES)

Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die NDES Komponenten.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Benötigte Berechtigungen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Das Dienstkonto, unter welchem der NDES-Dienst betrieben wird (Die Identität des IIS Anwendungspools) benötigt folgende Rechte für eine einwandfreie Funktion:

Auf der Zertifizierungsstelle…

  • Access this Computer over the Network (SeNetworkLogonRight) auf der Zertifizierungsstelle.

Auf dem NDES-Server…

  • Impersonate a Client after Authentication (SeImpersonatePrivilege, (zu deutsch "Annehmen der Clientidentität nach Authentifizierung").
  • Log on as a Batch Job (SeBatchLogonRight, zu deutsch "Anmelden als Stapenverarbeitungsauftrag"), wenn es sich um ein Domänenkonto handelt oder…
  • Log on as a Service (SeServiceLogonRight, zu deutsch "Anmelden als Dienst"), wenn es sich um einen Group Managed Service Account (gMSA) handelt.

Details: SeNetworkLogonRight

Das NDES-Dienstkonto benötigt das seNetworkLogonRight auf dem Zertifizierungsstellen-Computer. In der Standardeinstellung wird dies über den Eintrag "Everyone" sichergestellt.

Wird das seNetworkLogonRight nicht vergeben, wird sich der NDES Server wie im Artikel "Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot be started (0x80004005). Unspecified error"" beschrieben verhalten.

Details: SeImpersonatePrivilege

Das seImpersonatePrivilege muss entweder für das NDES-Dienstkonto, oder für die Gruppe IIS_IUSRS auf dem NDES-Server gesetzt werden. In der Standardeinstellung wird dies über den Eintrag "IIS_IUSRS" sichergestellt.

Wird das SeImpersonatePrivilege nicht vergeben, wird sich der NDES Server wie im Artikel "Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 500 fehl" beschrieben verhalten.

Weiterführende Links:

Externe Quellen

de_DEDeutsch