У меня есть два домена Active Directory в двух разных лесах, все на функциональных уровнях Windows Server 2008 R2. Между доменами существует двустороннее доверие между лесами.
Домен A содержит корневой центр сертификации Windows Server 2008 R2 Enterprise; его корневому сертификату доверяют все компьютеры в домене; существуют политики автоматической регистрации для автоматической выдачи сертификата компьютера каждому компьютеру в домене (как обычно, более одного для контроллеров домена).
Домен B не содержит центра сертификации, но корневой сертификат ЦС домена А назначается в качестве доверенного корневого сертификата всем компьютерам в домене через групповую политику, поэтому любой сертификат, выданный этим ЦС, рассматривается как действительный.
Могу ли я настроить политики автоматической регистрации в домене B, чтобы каждый компьютер в домене B автоматически запрашивал и получал сертификат от центра сертификации в домене A?
Если да, то как?
Записаться в кросс-лес можно, следуя инструкциям по адресу http://technet.microsoft.com/en-us/library/ff955842(v=ws.10).aspx. При этом копируются шаблоны и участники безопасности, необходимые для поддержки автоматической регистрации.
Предостережение: я использовал это только для поддержки веб-регистрации, поэтому я лично не проверял, можно ли его отправить с помощью групповой политики. При этом, если нет, я знаю, что это можно сделать с помощью сценария запуска, который вызывает CertUtil.