Supposons le scénario suivant :
- Une autorité de certification (Enterprise Certification Authority) intégrée dans Active Directory est installée via Windows PowerShell.
- Des autorisations déléguées sont utilisées pour l'installation de l'autorité de certification. L'utilisateur qui installe n'est donc pas membre du groupe „Enterprise Administrators“.
- Après avoir exécuté l'assistant de configuration de rôle, un ou plusieurs des messages d'erreur suivants sont affichés sur la ligne de commande :
Setup could not add the Certification Authority's computer account to the Pre-Windows 2000 Compatible Access security group. Certificate managers Restrictions feature will not work correctly on this Certification Authority. To fix this, an administrator must manually add the Certification's Authority's computer account to the Pre-Windows 2000 Compatible Access security group in Active Directory. Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Warning: Setup could not add the certification authority’s computer account to the cert Publishers Security Group. This Certification Authority will not be able to publish certificates in Active Directory. To fix this, an administrator must manually add the Certification Authority’s computer account to the Cert Publishers security group in Active Directory. Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Si l'installation est déléguée, l'utilisateur connecté doit avoir le droit d'inclure l'objet informatique de l'ordinateur de l'autorité de certification dans les groupes de sécurité suivants de la structure globale d'Active Directory :
- Accès compatible pré-Windows 2000
- Cert Publishers
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Les adhésions aux groupes peuvent toutefois être créées ultérieurement par un utilisateur dûment autorisé. Sur l'adhésion au groupe de sécurité Pre-Windows 2000 Compatible Access peut être renoncé, Les certificats sont délivrés par les autorités de contrôle de l'État membre dans lequel ils ont été délivrés, à moins que des gestionnaires de certificats restreints ne soient utilisés.
Veuillez noter que les appartenances à des groupes ne sont appliquées qu'après une nouvelle connexion du compte d'utilisateur - dans ce cas, du compte d'ordinateur et donc seulement après le redémarrage de l'ordinateur.
Si des points de distribution de listes de blocage LDAP sont configurés, leur publication est maintenue jusqu'à ce que la liste de blocage soit publiée. échouer avec le même message d'erreur, L'autorité de certification ne doit pas être activée tant qu'elle n'est pas membre du groupe de sécurité „Cert Publishers“ et que l'adhésion au groupe n'a pas été appliquée par le redémarrage du serveur.
Liens complémentaires :
- Pourquoi les autorités de certification intégrées à Active Directory sont-elles membres du groupe de sécurité "Pre-Windows 2000 Compatible Access" ?
- La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Insufficient access rights to perform the operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)".
Sources externes :
- Migration CA Racine : Impossible de trouver l'objet informatique CA Racine (MSExchangeGuru.com)
Français 
Deutsch 
English
Les commentaires sont fermés.