Rollenbasierte Verwaltung

Sie können die rollenbasierte Verwaltung verwenden, um die Zertifizierungsstellenadministratoren in separaten, vordefinierten Zertifizierungsstellenrollen mit ihren eigenen Aufgaben zu organisieren. Rollen werden mithilfe der Sicherheitseinstellungen der einzelnen Benutzer zugewiesen. Sie weisen einem Benutzer eine Rolle zu, indem Sie diesem Benutzer die speziellen der Rolle zugeordneten Sicherheitseinstellungen zuweisen. Ein Benutzer, der über einen Berechtigungstyp verfügt, z. B. die Berechtigung Zertifizierungsstelle verwalten, kann bestimmte Zertifizierungsstellenaufgaben ausführen, die ein Benutzer mit einem anderen Berechtigungstyp, z. B. der Berechtigung Zertifikate ausstellen und verwalten, nicht ausführen kann.

Erklärung von Rollen

Die rollenbasierte Verwaltung umfasst Zertifizierungsstellenrollen, Benutzer und Gruppen. Um einem Benutzer oder einer Gruppe eine Rolle zuzuweisen, müssen Sie die entsprechenden Sicherheitsberechtigungen, Gruppenmitgliedschaften oder Benutzerrechte der Rolle dem Benutzer oder der Gruppe zuweisen. Anhand dieser Sicherheitsberechtigungen, Gruppenmitgliedschaften und Benutzerrechte wird unterschieden, welche Benutzer welche Rollen haben. Die folgende Tabelle beschreibt die Zertifizierungsstellenrollen der rollenbasierten Verwaltung und die für die rollenbasierte Verwaltung relevanten Gruppen.

Rollen und Gruppen

Sicherheitsberechtigung

Beschreibung

Zertifizierungsstellenadministrator

Berechtigung Zertifizierungsstelle verwalten

Konfigurieren und Verwalten der Zertifizierungsstelle. Dies ist eine Zertifizierungsstellenrolle. Sie umfasst die Fähigkeit, alle anderen Zertifizierungsstellenrollen zuzuweisen und das Zertifizierungsstellenzertifikat zu erneuern.

Zertifikatverwaltung

Berechtigung Zertifikate ausstellen und verwalten

Genehmigen von Zertifikatregistrierungs- und Zertifikatsperrungsanforderungen. Dies ist eine Zertifizierungsstellenrolle. Diese Rolle wird auch als Zertifizierungsstellenofficer bezeichnet.

Sicherungs-Operator

Berechtigungen Sichern von Dateien und Verzeichnissen und Wiederherstellen von Dateien und Verzeichnissen

Ausführen von Systemsicherungen und -wiederherstellungen. Dies ist eine Betriebssystemrolle.

Prüfer

Berechtigung Verwalten von Überwachungs- und Sicherheitsprotokollen

Konfigurieren, Anzeigen und Verwalten von Überwachungsprotokollen. Dies ist eine Betriebssystemrolle.

Registrierende

Authentifizierte Benutzer

Registrierende sind Clients, die autorisiert sind, Zertifikate von der Zertifizierungsstelle anzufordern. Dies ist keine Zertifizierungsstellenrolle.

Alle Zertifizierungsstellenrollen werden von lokalen Administratoren, Organisationsadministratoren und Domänenadministratoren zugewiesen und geändert. Lokale Administratoren, Organisationsadministratoren und Domänenadministratoren sind standardmäßig Zertifizierungsstellenadministratoren einer Organisationszertifizierungsstelle. Nur lokale Administratoren sind standardmäßig Zertifizierungsstellenadministratoren einer eigenständigen Zertifizierungsstelle. Wenn die eigenständige Zertifizierungsstelle an einer Active Directory-Domäne angemeldet ist, sind Domänenadministratoren auch Zertifizierungsstellenadministratoren.

Die Rollen Zertifizierungsstellenadministrator und Zertifikatverwaltung können sowohl Active Directory-Benutzern als auch lokalen Benutzern in der Sicherheitskontenverwaltung (Security Accounts Manager oder SAM) des lokalen Computers, d. h. der lokalen Sicherheitskonten-Datenbank, zugewiesen werden. Es wird empfohlen, Rollen Gruppenkonten anstelle von einzelnen Benutzerkonten zuzuweisen.

Nur Zertifizierungsstellenadministrator, Zertifikatverwaltung, Prüfer und Sicherungs-Operator sind Zertifizierungsstellenrollen. Die anderen in der Tabelle genannten Benutzer sind für die rollenbasierte Verwaltung relevant, mit denen Sie sich vertraut machen sollten, bevor Sie Zertifizierungsstellenrollen zuweisen.

Nur Zertifizierungsstellenadministratoren und die Zertifikatverwaltung werden mithilfe des Zertifizierungsstellen-Snap-Ins der MMC (Microsoft Management Console) zugewiesen. Andere Rollen, Benutzer und Gruppen werden in ihren jeweiligen Konsolen angegeben. Zum Ändern der Rollen eines Benutzers müssen Sie die Sicherheitsberechtigungen, Gruppenmitgliedschaften oder Benutzerrechte dieses Benutzers ändern. Weitere

Wenn die Schlüsselarchivierung konfiguriert ist, stellt der Antragsteller, der ein Zertifikat von der Zertifizierungsstelle abruft, dieser seinen privaten Schlüssel bereit. Die Zertifizierungsstelle speichert diesen privaten Schlüssel bis zur Schlüsselwiederherstellung in ihrer Datenbank. Nur ein Benutzer mit der Rolle Zertifikatverwaltung kann den Blob des verschlüsselten privaten Schlüssels aus der Zertifizierungsstellendatenbank abrufen. Dieser wird dann an Schlüsselwiederherstellungs-Agenten weitergegeben.