Serviços de Certificados não puderam atualizar as permissões de segurança.
As permissões de controle de acesso da autoridade de certificação (AC) garantem que componentes e usuários autorizados possam concluir as tarefas necessárias. Erros de controle de acesso podem identificar problemas em potencial associados ao uso insuficiente ou inadequado de permissões.
Atualizar permissões de segurança com uma conta de usuário autorizada
Confirme que o usuário tentou atualizar as permissões de segurança tenha sido autorizado a definir permissões para os objetos dos Serviços de Certificados do Active Directory (AD CS).
Se não pretender que o usuário seja impedido de modificar permissões nos objetos do AD CS, é preciso:
Habilitar a auditoria na autoridade de certificação (AC).
Conceder ao usuário as permissões necessárias de administrador da AC e gerenciador de certificados na AC.
Conclua a operação como um usuário autorizado.
Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Habilitar auditoria em uma AC
Para habilitar auditoria em uma AC:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito no nome da AC e em Propriedades.
Clique na guia Auditoria e depois em Alterar configurações de segurança da autoridade de certificação.
Reinicie a AC.
Audite ações administrativas na AC por várias semanas até que você esteja satisfeito que nenhum outro ataque é provável antes de desabilitar a auditoria da AC.
Observação: Para fazer auditoria em eventos, o computador também deve estar configurado para fazer auditoria de acesso a objeto. As opções de política de auditoria podem ser exibidas e gerenciadas na Política de Grupo de domínio ou local em Configurações do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais.
Conceder permissões de gerenciador de certificado e administrador na AC
Para definir as permissões de segurança de administrador de AC e gerenciador de certificados de uma AC:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Na árvore de console, clique no nome de uma Autoridade de Certificação.
No menu Ação, clique em Propriedades.
Clique na guia Segurança e especifique as permissões de segurança.
Conclua a operação de gerenciamento de autoridade de certificação como um usuário autorizado.
Para mais informações sobre as funções e permissões de segurança disponíveis para a AC, consulte “Implement Role-Based Administration” (Implementar Administração Baseada em Função) na Ajuda da Autoridade de Certificação ( http://go.microsoft.com/fwlink/?LinkId=104188).
Para confirmar que o contexto de logon da AC está correto:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas, e clique em Serviços.
Confirme que a palavra Iniciado que aparece no Status pertence ao serviço Serviços de Certificados do Active Directory.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 92 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.92" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">92</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDc29839b12ca94b97946a97b10b78837f"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>