Я недавно установил службы сертификации AD, и, похоже, они работают нормально, хотя я не могу сказать, что знаком со всеми аспектами этого.
Я могу настроить автоматическую регистрацию, и это работает, но я думаю, что у меня должно быть несколько шаблонов, один для серверов и один для клиентов. Не могу сказать, что знаю, почему мне следует использовать разные шаблоны, но это кажется достаточно разумным.
Проблема в том, что, если у меня есть несколько шаблонов автоматической регистрации, клиенты будут регистрироваться в обоих. Единственный способ избежать этого - создать группы безопасности и поместить клиентов в одну группу, а сервер - в другую, но тогда, похоже, это противоречит цели автоматической регистрации, потому что мне приходится вручную добавлять учетные записи компьютеров в соответствующую группу.
Для меня было бы разумнее применить фильтр на основе организационной единицы или, в качестве альтернативы, иметь две отдельные политики и определять шаблон, который будет использоваться. Я считаю, что могу автоматизировать членство в группах на основе организационной единицы с помощью сценария PowerShell, но это кажется немного ненужным.
Я что-то упустил?