Au niveau des droits accès sur une autorité de certification, il existe quatre permissions :
- Lire
- Emettre et gérer des certificats
- Gérer l'autorité de certification
-
Demander des certificats
Par défaut, les groupes d'administrations (« admins du domaine », « admins de l'entreprise » et « administrateurs ») disposent des permissions « émettre et gérer des certificats » ainsi que de « gérer l'autorité de certification ».
Les utilisateurs authentifiés disposent de la permission de demander un certificat.
Vous pouvez modifier les permissions depuis la console de l'autorité de certification, en sélectionnant l'autorité, puis propriétés et enfin sécurité.
La permission « gérer l'autorité de certification » permet entre autres :
- Arrêter / redémarrer les services de l'autorité
- Configurer l'autorité
- Gérer les listes de révocations
- Gérer les agents de récupération
- Attribuer des autorisations sur l'autorité
La permission « émettre et gérer des certificats » permet entre autres :
- Emettre et approuver des certificats
- Révoquer des certificats
-
Récupérer des clés archivées, mais un agent de récupération est nécessaire pour déchiffrer la structure et générer un fichier contenant la clé privée
|
|
Pour installer une autorité de certification AD CS, il faut disposer des autorisations « administrateur » sur le serveur. Le compte administrateur local ou les comptes « admins du domaine » disposent de cette autorisation. Pour installer une autorité de certification d'entreprise, il faut pouvoir écrire dans le conteneur AD de la partition de configuration. Les comptes « admins du domaine » du domaine racine de la forêt, ainsi que le groupe « administrateurs de l'entreprise » disposent de ces autorisations par défaut. |
