Les services de certificats n'ont pas pu mettre à jour les autorisations de sécurité.
Les autorisations de contrôle d'accès de l'autorité de certification garantissent que les composants et utilisateurs autorisés puissent effectuer les tâches requises. Les erreurs de contrôle d'accès peuvent identifier des problèmes potentiels liés à une utilisation insuffisante ou inappropriée des autorisations.
Mettre à jour les autorisations de sécurité avec un compte d'utilisateur autorisé
Confirmez que l'utilisateur qui a essayé de mettre à jour les autorisations de sécurité a été autorisé à définir des autorisations pour des objets de services de certificats Active Directory (AD CS).
si vous n'avez pas l'intention d'empêcher l'utilisateur de modifier des autorisations pour des objets AD CS, vous devez :
activer l'audit sur l'autorité de certification ;
accorder à l'utilisateur les autorisations d'administrateur d'autorité de certification et de gestionnaire de certificats pour l'autorité de certification.
Exécuter l'opération en tant qu'utilisateur autorisé.
Pour effectuer ces procédures, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Activer l'audit sur une autorité de certification
Pour activer l'audit sur une autorité de certification :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez avec le bouton droit sur le nom de l'autorité de certification, puis sur Propriétés.
Cliquez sur l'onglet Audit, puis sur Modifier les paramètres de sécurité de l'autorité de certification.
Redémarrez l’autorité de certification.
Auditez les actions d'administration sur l'autorité de certification pendant plusieurs semaines ou jusqu'à ce que vous ayez l'assurance qu'aucune autre attaque n'est probable, avant de désactiver l'audit de l'autorité de certification.
Remarque : pour auditer des événements, l’ordinateur doit également être configuré pour l’audit de l’accès aux objets. Les options de stratégie d’audit peuvent être affichées et gérées dans la Stratégie de groupe locale ou de domaine sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales.
Donner des autorisations d'administrateur et de gestionnaire de certificats sur l'autorité de certification
Pour définir les autorisations de sécurité de l’administrateur de l’autorité de certification et du gestionnaire de certificats pour une autorité de certification :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Dans l’arborescence de la console, cliquez sur le nom de l’Autorité de certification.
Dans le menu Action, cliquez sur Propriétés.
Cliquez sur l’onglet Sécurité et spécifiez les autorisations de sécurité.
Exécutez l'opération de gestion de l'autorité de certification en tant qu'utilisateur autorisé.
Pour plus d'informations sur les rôles et les autorisations de sécurité disponibles pour une autorité de certification, voir « Implémenter l’administration basée sur les rôles » dans l'aide de l'autorité de certification ( http://go.microsoft.com/fwlink/?LinkId=104188).
Pour confirmer que le contexte de connexion de l'autorité de certification est correct :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Services.
Confirmez que le mot Démarré s'affiche dans l'État du service Services de certificats Active Directory.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 92 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.92" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">92</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDc29839b12ca94b97946a97b10b78837f"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>