Sertifika Hizmetleri, güvenlik izinlerini güncelleştiremedi.
Sertifika yetkilisi (CA) erişim denetimi izinleri, yetkili bileşenlerin ve kullanıcıların gerekli görevleri tamamlayabilmesini sağlar. Erişim denetimi hataları, izinlerin yetersiz ve uygunsuz kullanımıyla ilişkili olası sorunları tanımlayabilir.
Yetkili bir kullanıcı hesabıyla güvenlik izinlerini güncelleştirin
Güvenlik izinlerini güncelleştirmeyi deneyin kullanıcının Active Directory Sertifika Hizmetleri (AD CS) nesneleri üzerindeki izinleri ayarlamak üzere yetkilendirildiğini onaylayın.
Kullanıcının AD CS nesneleri üzerindeki izinleri değiştirmesinin engellenmesini amaçlamadıysanız, şunları yapmanız gerekir:
Sertifika yetkilisi (CA) üzerinde denetimi etkinleştirin.
Kullanıcıya CA üzerinde gerekli CA yöneticisi ve sertifika yöneticisi izinlerini verin.
İşlemi yetkili kullanıcı olarak tamamlayın.
Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
CA üzerinde denetimi etkinleştirin
CA üzerinde denetimi etkinleştirmek için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA'nın adına sağ tıklayın ve Özellikler'e tıklayın.
Denetim sekmesine tıklayın ve CA güvenlik ayarlarını değiştir öğesine tıklayın.
CA'yı yeniden başlatın.
CA denetimini devre dışı bırakmadan önce, CA üzerindeki yönetimsel eylemleri birkaç hafta boyunca veya başka saldırı olasılığı olmadığından emin olana kadar denetleyin.
Not: Olayları denetlemek için, bilgisayarınızın da nesne erişimi denetimi için yapılandırılmış olması gerekir. Denetim ilkesi seçenekleri, yerel veya etki alanı Grup İlkesi içinde, Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler altında görüntülenebilir ve yönetilebilir.
CA üzerinde yönetici ve sertifika yöneticisi izinleri verin
Bir CA'ya yönelik CA yöneticisi ve sertifika yöneticisi güvenlik izinlerini ayarlamak için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
Konsol ağacında, CA'nın adına tıklayın.
Eylem menüsünde Özellikler'e tıklayın.
Güvenlik sekmesine tıklayın ve güvenlik izinlerini belirtin.
CA yönetimi işlemini yetkili kullanıcı olarak tamamlayın.
Bir CA için kullanılabilir olan roller ve güvenlik izinleri hakkında daha fazla bilgi için, Sertifika Yetkilisi Yardımı'ndaki "Rol Tabanlı Yönetim Uygulama" konusuna bakın ( http://go.microsoft.com/fwlink/?LinkId=104188).
CA oturum açma bağlamının doğru olduğunu onaylamak için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Hizmetler'e tıklayın.
Active Directory Sertifika Hizmetleri hizmetine ait Durum öğesinde Başlatıldı sözcüğünün göründüğünü onaylayın.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 92 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.92" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">92</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDc29839b12ca94b97946a97b10b78837f"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>