woraxor
Goto Top

Zertifikatsrichlinie wird nicht verarbeitet

Moinsen,

ich habe ein Problem und weiß nicht wie ich es lösen soll....Ich habe für eine OU, für unsere Clients eine Zertifikatsrichtlinie erlassen, damit sich die Zertifikate automatisch von unserem PKI-Server ziehen sollen.

Die Richtlinie wird aber überhaupt nicht verarbeitet....noch nicht mal unter rsop.msc / gpresult /r /z angezeigt...
Die Berechtigungen wurden von mir auch schon geprüft, es sollte sich jeder Domäne-Benutzer die Richtlinie ziehen dürfen.

Konfiguration, siehe Bild.

Hat jemand noch eine Idee?

VG
Hanuta
2019-07-23 11_12_27-clipboard

Content-Key: 476454

Url: https://administrator.de/contentid/476454

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: Bitboy
Bitboy 23.07.2019 um 11:21:41 Uhr
Goto Top
HI,

ich benutz ganz gern gpresult /h result.html. Find ich übersichtlicher. Taucht die Richtlinie da mit Namen auf?
gpupdate /force nehm ich an hast du schon gemacht.

mfg
Mitglied: Woraxor
Woraxor 23.07.2019 aktualisiert um 11:42:24 Uhr
Goto Top
Jap, beides

Sie taucht auch über gpresult /h result.hmtl nicht auf... face-confused

AD-Server hab ich auch schon geprüft, die Replizierung stimmt.

VG
Mitglied: Dani
Dani 23.07.2019 um 12:01:09 Uhr
Goto Top
Moin,
Ich habe für eine OU, für unsere Clients eine Zertifikatsrichtlinie erlassen,
und
Die Berechtigungen wurden von mir auch schon geprüft, es sollte sich jeder Domäne-Benutzer die Richtlinie ziehen dürfen.
ist meiner Meinung nach ein Wiederspruch in sich. Sollen nun die Computer und/oder die Benutzer automatisch Zertifikate erhalten?

Die Richtlinie wird aber überhaupt nicht verarbeitet....noch nicht mal unter rsop.msc / gpresult /r /z angezeigt...
Führe einmal mit administrativen Rechten ein gpupdate /force aus. Anschließend schau in die Ereignisanzeige des Rechners und kontrolliere die Verarbeitung der Richtlinien. Falls diese nicht ordnungsgemäß funktioniert, wird ein Fehler mit Details geschrieben.


Gruß,
Dani
Mitglied: sabines
sabines 23.07.2019 um 12:29:38 Uhr
Goto Top
Zitat von @Woraxor:

Sie taucht auch über gpresult /h result.hmtl nicht auf... face-confused


Wenn die gar nicht auftaucht, dann stimmen i.d.R. die Leseberechtigungen für die GPO nicht.
Sonst würde die als "gefiltert" angezeigt werden, glaub' ich jedenfalls.
Mitglied: Woraxor
Woraxor 23.07.2019 um 13:18:52 Uhr
Goto Top
Moin,

Es sollen die Benutzer das Zertifikat erhalten, das mit den Adminrechten ist auch schon probiert worden.
Hat leider nicht funktioniert....

In der Ereignisanzeige wird die GPO auch nicht angezeigt, noch nicht mal als Fehler oder nicht Verarbeitet...

VG
Mitglied: Woraxor
Woraxor 23.07.2019 um 13:21:01 Uhr
Goto Top
Als Leseberechtigung ist:

-Authentifizierte Benutzer und die AD-Gruppe die Sie erhalten Soll eingetragen. (Ebenso wie die Standardsystemwerte)

-Die AD-Gruppe hat auch durch die Sicherheitsfilterung, "Gruppenrichtlinie übernehmen drin" Der Hacken ist gesetzt...

VG
Mitglied: Bitboy
Bitboy 23.07.2019 um 13:57:54 Uhr
Goto Top
Ok, gehen wir es mal Stück für Stück durch.

Es ist eine Benutzerrichtlinie.
Sicherheitsfilter ist: Authentifizierter Benutzer. Das passt.
Im Tab Details steht die Richtlinie auf Aktiviert oder Computerkonfiguration deaktiviert?
Die Richtlinie ist einer OU zugewiesen. Was ist in der OU drinne? Benutzer oder Computer?
WMI Filter gibs wahrscheinlich keine.
Mitglied: Woraxor
Woraxor 23.07.2019 um 14:05:23 Uhr
Goto Top
Moin,

Glaube ich habe das Problem gefunden....

Sehr verwirrent...dadurch, das die Gruppenrichtlinie Zertifikate für Computer ausstellt, benötigt Sie laut Microsoft Computerkonten und keine User-Accounts. Auch wenn man das ganze in User Eingerichtet hat.....

Denn bei dem Versuch die Gruppenrichtlinie zu aktualisieren, sagt er mir, das keine Computer zum ausrollen zur Verfügung stehen...macht Natürlcih Sinn....

VG
Mitglied: Dani
Dani 23.07.2019 aktualisiert um 15:56:01 Uhr
Goto Top
Moin,
Sehr verwirrent...dadurch, das die Gruppenrichtlinie Zertifikate für Computer ausstellt, benötigt Sie laut Microsoft Computerkonten und keine User-Accounts. Auch wenn man das ganze in User Eingerichtet hat.....
Warum? Genau aus diesem Punkt habe ich oben danach gefragt, für was Zertifikate ausgerollt werden sollen! Wer im Active Directory Grundkurs aufgepasst hat, weiß natürlich, dass der Computer mit einem eigenen Benutzer (Computerkonto) sich am Active Directory anmeldet/authentifiziert.


Gruß,
Dani