憑證服務無法更新安全性權限。
憑證授權單位 (CA) 存取控制權限確保獲得授權的元件和使用者可以完成所需的工作。存取控制錯誤可以識別與使用權限不足或不適當相關的潛在問題。
以授權使用者帳戶更新安全性權限
確認嘗試更新安全性權限的使用者已獲得設定 Active Directory 憑證服務 (AD CS) 物件權限的授權。
如果您不想封鎖該使用者修改 AD CS 物件的權限,您需要:
啟用憑證授權單位 (CA) 稽核。
授與使用者所需的有關 CA 的 CA 系統管理員和憑證管理員權限。
以授權使用者身分完成作業。
若要執行這些程序,您必須擁有管理 CA 權限,或者必須已被委派適當的權限。
啟用 CA 稽核
若要啟用 CA 稽核:
在主控 CA 的電腦上,按一下 [開始],指向 [系統管理工具],然後按一下 [憑證授權單位]。
在 CA 名稱上按一下滑鼠右鍵,然後按一下 [內容]。
按一下 [稽核] 索引標籤,然後按一下 [變更 CA 安全性設定]。
重新啟動 CA。
對 CA 上的管理動作稽核數週,或直到您確信不存在其他攻擊的可能後,再停用 CA 稽核。
備註:若要稽核事件,還必須將電腦設定為可稽核物件存取。您可以在 [電腦設定\Windows 設定\安全性設定\本機原則] 之下的本機或網域群組原則中,檢視及管理稽核原則選項。
授與 CA 的系統管理員和憑證管理員權限
若要設定 CA 的 CA 系統管理員和憑證管理員安全性權限:
在主控 CA 的電腦上,按一下 [開始],指向 [系統管理工具],然後按一下 [憑證授權單位]。
在主控台樹狀目錄中,按一下 CA 的名稱。
按一下 [執行] 功能表上的 [內容]。
按一下 [安全性] 索引標籤,然後指定安全性權限。
以授權使用者身分完成 CA 管理作業。
如需 CA 可用的角色和安全性權限的詳細資訊,請參閱憑證授權單位說明中的<以角色為基礎的系統管理>( http://go.microsoft.com/fwlink/?LinkId=104188)。
若要確認 CA 登入內容正確:
在主控 CA 的電腦上,按一下 [開始],指向 [系統管理工具],然後按一下 [服務]。
確認文字 [已啟動] 出現在 Active Directory 憑證服務] 的 [狀態] 中。
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 92 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.92" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">92</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDc29839b12ca94b97946a97b10b78837f"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>