У нас есть внутренний центр сертификации домена Windows 2003, который мы используем для сертификатов SSL. Администраторы домена могут просто использовать мастер запроса сертификата IIS для установки сертификата (выбрав в мастере «Отправить запрос немедленно в центр сертификации в Интернете»).
Когда кто-то, не являющийся администратором домена, пытается это сделать, он может завершить работу мастера и даже получить сообщение о том, что он установил сертификат на сервер. Однако сертификат не установлен.
Есть ли конкретное разрешение, которое можно настроить, чтобы позволить пользователю домена, не являющемуся администратором домена, выполнять это действие?
http://technet.microsoft.com/en-us/library/cc962096.aspx это то, что я искал.