Ролевое администрирование позволяет организовывать администраторов центров сертификации в отдельные, предварительно заданные роли ЦС, у каждой из которых есть свой набор задач. Роли назначаются на основе параметров безопасности каждого пользователя. При назначении роли пользователю назначаются определенные параметры безопасности, сопоставленные данной роли. Пользователь с одним типом разрешения, например с разрешением на управление ЦС, может выполнять определенные задачи ЦС, которые недоступны для выполнения пользователю с другим типом разрешения, например с разрешением на выдачу и управление сертификатами.

В следующей таблице описаны роли, пользователи и группы, которые служат для реализации ролевого администрирования. Чтобы назначить роль пользователю или группе, необходимо назначить им соответствующие данной роли разрешения безопасности, членства в группах или пользовательские права. Данные разрешения безопасности, членства в группе и права пользователей служат для разграничения ролей пользователей.

Роли и группы Разрешение безопасности Описание

Администратор ЦС

Управление ЦС

Настройка и обслуживание ЦС. Это роль ЦС, которая включает в себя возможность назначать все остальные роли ЦС и обновлять сертификат ЦС. Данные разрешения назначаются с помощью оснастки ЦС.

Диспетчер сертификатов

Выдача и управление сертификатами

Утверждение запроса на получение сертификата и отзыв сертификата. Это роль ЦС. Эта роль иногда называется инспектор ЦС. Данные разрешения назначаются с помощью оснастки ЦС.

Оператор архива

Архивирование файлов и каталогов

Восстановление файлов и каталогов

Архивирование и восстановление системы. Архивирование - это функциональная возможность операционной системы.

Аудитор

Управление аудитом и журналом безопасности

Настройка, просмотр и обслуживание журналов аудита. Аудит - это функциональная возможность операционной системы. Аудитор - это роль операционной системы.

Заявители

Чтение

Регистрация

Заявители - это клиенты, которым разрешено запрашивать сертификаты в ЦС. Это не роль ЦС.

Все роли ЦС назначаются и изменяются членами групп Локальные администраторы, Администраторы предприятия или Администраторы домена. На корпоративных ЦС локальные администраторы, администраторы предприятия и администраторы домена по умолчанию являются администраторами ЦС. Только локальные администраторы по умолчанию являются администраторами ЦС на отдельных ЦС. Если отдельный ЦС установлен на сервере, подключенном к домену Active Directory, администраторы домена также являются администраторами ЦС.

Роли администратора ЦС и диспетчера сертификатов могут назначаться пользователям Active Directory или локальным пользователям в диспетчере учетных записей безопасности (SAM) локального компьютера, который является базой данных локальной учетной записи безопасности. Рекомендуется назначать роли учетным записям групп, а не учетным записям отдельных пользователей.

Ролями ЦС являются только роли администратора ЦС, диспетчера сертификатов, аудитора и оператора архива. Остальные пользователи, описанные в таблице, являются важными элементами ролевого администрирования, и с ними следует ознакомиться до назначения ролей ЦС.

С помощью оснастки центра сертификации назначаются только администраторы ЦС и диспетчеры сертификатов. Чтобы изменить разрешения пользователя или группы, необходимо изменить разрешения безопасности пользователя, членство в группе или права пользователей.

Чтобы задать разрешения безопасности администратора ЦС и диспетчера сертификатов для ЦС
  1. Откройте оснастку центра сертификации.

  2. В дереве консоли щелкните имя ЦС.

  3. В меню Действие выберите команду Свойства.

  4. Щелкните вкладку Группа безопасности и задайте разрешения безопасности.

Роли и операции

Каждой роли ЦС сопоставлен особый список задач администрирования ЦС. В следующей таблице перечислены все задачи администрирования ЦС, а также роли, в которых они выполняются.

Операция Администратор ЦС Диспетчер сертификатов Аудитор Оператор архива Локальный администратор Примечания

Установка ЦС

 

 

 

 

X

 

Настройка политики и модулей выхода

X

 

 

 

 

 

Остановка и запуск служб сертификатов Active Directory (AD CS)

X

 

 

 

 

 

Настройка разрешений

X

 

 

 

 

 

Настройка ролей

X

 

 

 

 

 

Обновление ключей ЦС

 

 

 

 

X

 

Определение агентов восстановления ключей

X

 

 

 

 

 

Настройка ограничений диспетчера сертификатов

X

 

 

 

 

 

Удаление отдельного ряда базы данных ЦС

X

 

 

 

 

 

Удаление нескольких рядов в базе данных ЦС (массовое удаление)

X

X

 

 

 

Пользователь должен быть одновременно администратором ЦС и диспетчером сертификатов. Данная операция недоступна при принудительном включенном разделении ролей.

Включение разделения ролей

 

 

 

 

X

 

Выдача и утверждение сертификатов

 

X

 

 

 

 

Отклонение сертификатов

 

X

 

 

 

 

Отзыв сертификатов

 

X

 

 

 

 

Повторная активация сертификатов в режим ожидания

 

X

 

 

 

 

Обновление сертификатов

 

X

 

 

 

 

Включение, публикация и настройка расписаний списка отзыва сертификатов

X

 

 

 

 

 

Восстановление архивных ключей

 

X

 

 

 

Только диспетчер сертификатов может получать структуру данных зашифрованного ключа из баз данных ЦС. Закрытый ключ допустимого агента восстановления ключа требуется для расшифровки структуры данных ключа и создания файла PKCS #12.

Настройка параметров аудита

 

 

X

 

 

По умолчанию пользовательское право аудита системы принадлежит локальному администратору.

Журналы аудита

 

 

X

 

 

По умолчанию пользовательское право аудита системы принадлежит локальному администратору.

Архивирование системы

 

 

 

X

 

По умолчанию пользовательское право архивирования системы принадлежит локальному администратору.

Восстановление системы

 

 

 

X

 

По умолчанию пользовательское право архивирования системы принадлежит локальному администратору.

Чтение базы данных ЦС

X

X

X

X

 

По умолчанию пользовательские права аудита системы и архивирования системы принадлежат локальному администратору.

Чтение сведений настройки ЦС

X

X

X

X

 

По умолчанию пользовательские права аудита системы и архивирования системы принадлежат локальному администратору.

Дополнительная информация

  • Заявители могут читать свойства центра сертификации и списки отзыва сертификатов, а также запрашивать сертификаты. Для запроса сертификата на корпоративном ЦС пользователь должен иметь разрешения на чтение и регистрацию на шаблоне сертификата. Администраторы ЦС, диспетчеры сертификатов, аудиторы и операторы архива имеют разрешения на чтение по умолчанию.

  • Право пользователя аудита системы принадлежит аудитору.

  • Право пользователя архивирования системы принадлежит оператору архива. Кроме того, оператор архива может запускать и останавливать службы сертификатов Active Directory (AD CS).

Назначение ролей

Администратор ЦС для ЦС назначает пользователям отдельные роли ролевого администрирования, применяя параметры безопасности данной роли учетной записи пользователя. Администратор ЦС может назначать пользователю более одной роли, но ЦС более защищен, когда у каждого пользователя только одна роль. Если используется данная стратегия делегирования, то в случае нарушения защиты учетной записи пользователя под угрозой оказывается меньшее число задач ЦС.

Задачи администратора

Параметр установки по умолчанию для изолированного центра сертификации предполагает, что члены локальной группы Администраторы являются администраторами центра сертификации. Параметр установки по умолчанию для центра сертификации предприятия предполагает, что члены локальных групп Администраторы, Администраторы предприятия и Администраторы домена являются администраторами центра сертификации. Чтобы ограничить возможности любой из этих учетных записей, их следует удалить из ролей администратора ЦС и диспетчера сертификатов при назначении ролей ЦС.

Рекомендация: учетные записи групп, которым назначены роли администратора центра сертификации или диспетчера сертификатов, не должны быть членами локальной группы Администраторы. Кроме того, роли ЦС следует назначать только учетным записям групп, а не отдельных пользователей.

Примечание

Для обновления сертификата центра сертификации необходимо быть членом локальной группы Администраторы. Члены данной группы могут выступать в качестве администраторов для всех ролей ЦС.