none
诡异的证书模板问题(企业CA) RRS feed

  • 问题

  • 环境:
    同林中两个树a.com和b.com。在b.com中安装了企业根CA,安装时使用a.com中用户abc(enterprise admins权限)。安装完成后,在b.com的子域sub1中安装企业从属CA。
    在sub1.b.com的用户申请证书时(通过WEB方式)看不到任何证书模板。于是登录CA检查,发现所有证书模板的权限均为"a\domain users、a\domain admins、a\enterprise admins"可以读取、注册等。于是以安装时使用的abc(enterprise admins权限)登录企业跟CA,修改证书模板的安全权限。添加sub1\domain users可以读取、注册、自动注册。但是点击确认后,再次查改该模板属性,发现刚刚添加的权限莫名其妙的不见了。无任何报错,应用程序日志无任何事件。

    请教这是什么状况???
    2009年10月13日 3:23

全部回复

  • 也许是需要复制权限,我也遇到过,当时我没有理会,过了一天就好了,我也很奇怪.

    我的环境是美国加州和中国深圳的父子域关系.

    当时我把父子域的administrator都加入到互相的builtin\administrators组.
    Ben Wang --------------------- 做个好汉子,每天要自强------自强不熄
    2009年10月13日 3:47
  • 我这放了好多天了都没好。
    你说把父子域的administrator加入企业根CA和从属CA的administrators组?
    2009年10月13日 3:49
  • 我是这么做的,不知道微软建议不建议这样做,我的中国深圳是子CA,美国是父CA,那次出问题的时候,用户死活都申请不了证书,我很急,就把权限这样改了,但不知道他们之间有没有联系.
    Ben Wang --------------------- 做个好汉子,每天要自强------自强不熄
    2009年10月13日 3:51
  • 你的改了这个权限就可以正常更改证书模板权限了吗?
    我的已经有这个权限了。可以更改“证书模板”权限,就是改好了以后一刷新就没了。还不提示任何错误。
    2009年10月13日 3:57
  • 应该是组的问题吧?

    你这个问题超级奇怪,试试建立一个本地域组,把子域的全局组搞进来,然后把本地组授权到模版上
    Ben Wang --------------------- 做个好汉子,每天要自强------自强不熄
    2009年10月13日 6:25
  • 呵呵,这招用过了,不行的。
    不过现在好像解决了,用的一个更奇怪的招。

    我新添加好权限后,点击“应用”但不点击“确定”。然后放几分钟再点击确定。这样好像上面的权限就不会消失了。
    2009年10月13日 6:32
  • 倒......................我是每次点应用,再点确定,我的环境是2008 SP2


    Ben Wang --------------------- 做个好汉子,每天要自强------自强不熄
    2009年10月13日 6:36
  • 我的环境是win 2k3 sp2的。
    我必须是过几分钟再点才行。
    2009年10月13日 7:11