У меня есть шаблон сертификата, опубликованный в моем домене Server 2016 Enterprise CA - я пытаюсь настроить автоматическую регистрацию сертификатов для наших внутренних веб-серверов.
Когда шаблон имеет разрешения на чтение / регистрацию / автоматическую регистрацию, предоставленные непосредственно учетной записи компьютера, соответствующий компьютер может автоматически регистрироваться.
Когда разрешения на чтение / регистрацию / автоматическую регистрацию назначаются встроенной группе «Компьютеры домена», (любые) компьютеры, присоединенные к домену, также могут автоматически регистрироваться.
Когда разрешения безопасности назначаются глобальной группе безопасности, содержащей учетные записи компьютеров в качестве членов, эти компьютеры не могут автоматически регистрироваться. При использовании «запроса нового сертификата» из диспетчера сертификатов компьютера - я могу выбрать рассматриваемый шаблон, но он не работает с ошибкой «Разрешения на шаблон сертификата не позволяют текущему пользователю регистрироваться для этого типа сертификата». Я вижу сбои в CA при выполнении GPUpdate на компьютере, который должен иметь разрешение на регистрацию.
Я подозреваю, что упускаю какую-то глупость - есть предложения, что проверить?
Вам необходимо перезагрузить серверы после изменения их членства в группе безопасности.