Чтобы создать административные группы центра сертификации в домене, выполните следующие действия.

1. Войдите на компьютер, являющийся членом домена, используя учетную запись, которая позволяет создавать объекты пользователей и групп в контейнере «Пользователи» (Users).

2. Выполните для создания групп управления центром сертификации домена следующую команду:

 

Копировать код

Cscript //job:CertDomainGroups C:\MSSScripts\ca_setup.wsf

Этот сценарий создаст группы безопасности, указанные в следующей таблице. Они будут созданы как универсальные группы в контейнере «Пользователи» (Users) домена, и их можно будет переместить в другие подразделения, если того потребуют какие-либо принятые в организации политики.

Таблица 10. Названия и описания групп

Название группы	Описание
Enterprise PKI Admins	В эту группу входят администраторы контейнера конфигурации служб открытых ключей.
Enterprise PKI Publishers	Члены этой группы могут публиковать списки отзыва сертификатов и сертификаты центров сертификации для контейнера конфигурации «Предприятие» (Enterprise).
CA Admins	Члены этой группы имеют полный административный контроль над центром сертификации, в том числе возможность определять членство других ролей.
Certificate Managers	Члены этой группы управляют выдачей и отзывом сертификатов.
CA Auditors	Члены этой группы управляют данными об аудите центра сертификации.
CA Backup Operators	Члены этой группы имеют разрешения на резервное копирование и восстановление ключей и данных центров сертификации.

 

В процедурах установки, описываемых в оставшейся части документа, должны использоваться учетные записи из групп Enterprise PKI Admins, Enterprise PKI Publishers и CA Admins, поэтому перед продолжением их нужно заполнить этими учетными записями. Если все роли, имеющие отношение к центру сертификации, возложены на одного человека, всем группам можно назначить одну учетную запись, однако в большинстве компаний роли и обязанности сотрудников в той или иной степени разделены, хотя и не по такой сложной схеме, как в приведенной выше таблице. В компаниях с упрощенным разделением служебных обязанностей часто делят области ответственности следующим образом.

Таблица 11. Упрощенная модель администрирования

Административная роль	Членство в группах
CA Administrator	Enterprise PKI Admins, CA Admins, Certificate Managers, Administrators
CA Auditor	CA Auditors, Administrators
CA Backup Operator	CA Backup Operators

Рекомендуемая структура подразделений домена

Управлять инфраструктурой открытых ключей и использовать ее будут несколько групп и пользовательских учетных записей. Возможно, их потребуется организовать в ту или иную структуру подразделений — это зависит от действующих политик. Так как эта структура может определяться уже используемыми корпоративными политиками, ниже предлагается один из вариантов, который можно изменять в соответствии с конкретными потребностями.

Чтобы создать иерархию подразделений, работающих со службами сертификации, выполните следующие действия.

1. Войдите в систему, используя учетную запись, позволяющую создавать подразделения и делегировать в них разрешения.

2. Создайте структуру подразделений в соответствии со следующей таблицей.

Таблица 12. Пример структуры подразделения

Подразделение	Описание
Certificate Services	Родительское подразделение
\-Certificate Services Administration	Содержит административные группы, управляющие центрами сертификации и конфигурацией корпоративной инфраструктуры открытых ключей.
\-Certificate Template Management	Содержит группы, управляющие отдельными шаблонами сертификатов.
\-Certificate Template Enrollment	Содержит группы, имеющие разрешения на подачу заявок или автоматическую подачу заявок в одноименных шаблонах. Контроль над этими группами можно делегировать соответствующим сотрудникам без изменения самих шаблонов.
\-Certificate Services Test Users	Содержит временные тестовые учетные записи.

 

3. Предоставьте группе Enterprise PKI Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.