L'installation des modèles de certificats par défaut échoue avec le message d'erreur "This security ID may not be assigned as the owner of this object".

Supposons le scénario suivant :

• Une autorité de certification intégrée dans Active Directory (Enterprise Certification Authority) doit être installée pour la première fois dans le réseau.
• Pour des raisons de sécurité, les droits d'installation de l'autorité de certification ont été délégués à un groupe de sécurité ou à un compte séparé, de sorte qu'il n'est pas nécessaire de se connecter en tant qu'administrateur d'entreprise. Formulé dans l'autre sens : L'utilisateur utilisé n'est pas membre du groupe "Enterprise Administrators" dans la structure globale d'Active Directory.
• Comme il s'agit de la première autorité de certification dans le réseau, il n'y a pas encore d'autorité de certification. Modèles de certificats standard est installé dans l'Active Directory. En ouvrant la console de gestion des modèles de certificats (certtmpl.msc), on est invité à les installer.
• L'installation échoue avec le message d'erreur suivant :

Windows could not install the new certificate templates. This security ID may not be assigned as the owner of this object.

Si vous essayez d'installer les modèles de certificats par défaut via certutil, vous obtenez un message d'erreur comparable :

CertUtil: -InstallDefaultTemplates command FAILED: 0x8007051b (WIN32: 1307 ERROR_INVALID_OWNER)
CertUtil: This security ID may not be assigned as the owner of this object.

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

L'installation des modèles de certificats standard doit être effectuée une seule fois par un compte disposant de droits d'administrateur d'entreprise, car le droit "Restore Files and Directories" est nécessaire sur les contrôleurs de domaine pour la création des modèles de certificats standard.

La création des modèles de certificats par défaut peut être effectuée à l'aide de la commande suivante :

certutil -installdefaulttemplates

Cette commande peut également être exécutée par un contrôleur de domaine sans installation de logiciel supplémentaire, car elle fait partie de la livraison standard du système d'exploitation Windows.

Il faut toutefois veiller à ce que la commande soit exécutée avec des droits élevés (Run as Administrator), sinon le message d'erreur ERROR_DS_INSUFF_ACCESS_RIGHTS est signalé.

CertUtil: -InstallDefaultTemplates command FAILED: 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
CertUtil: Insufficient access rights to perform the operation.

Liens complémentaires :

• (Ré)installation des modèles de certificats Microsoft Standard

Sources externes

• Installation déléguée pour une autorité de certification d'entreprise (Microsoft Corporation)
• Erreur de chargement des modèles par défaut sur la nouvelle AC Enterprise Root (Forums Microsoft TechNet)