Folgendes Szenario angenommen:
- Es wird eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) per Windows PowerShell installiert.
- Für die Installation der Zertifizierungsstelle werden delegierte Berechtigungen verwendet. Der installierende Benutzer ist also nicht Mitglied der Gruppe "Enterprise Administrators".
- Nach Ausführen des Rollenkonfigurations-Assistenten wird eine oder mehrere der folgenden Fehlermeldungen auf der Kommandozeile ausgegeben:
Setup could not add the Certification Authority's computer account to the Pre-Windows 2000 Compatible Access security group. Certificate managers Restrictions feature will not work correctly on this Certification Authority. To fix this, an administrator must manually add the Certification's Authority's computer account to the Pre-Windows 2000 Compatible Access security group in Active Directory. Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Warning: Setup could not add the certification authority’s computer account to the cert Publishers Security Group. This Certification Authority will not be able to publish certificates in Active Directory. To fix this, an administrator must manually add the Certification Authority’s computer account to the Cert Publishers security group in Active Directory. Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Wenn die Installation delegiert erfolgt, muss der angemeldete Benutzer das Recht haben, das Computerobjekt des Zertifizierungsstellen-Computers in folgende Sicherheitsgruppen der Active Directory Gesamtstruktur aufzunehmen:
- Pre-Windows 2000 Compatible Access
- Cert Publishers
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Die Gruppenmitgliedschaften können jedoch nachträglich durch einen entsprechend berechtigten Benutzer eingerichtet werden. Auf die Mitgliedschaft in der Pre-Windows 2000 Compatible Access Sicherheitsgruppe kann verzichtet werden, wenn keine eingeschränkten Zertifikatmanager eingesetzt werden.
Bitte beachten, dass die Gruppenmitgliedschaften erst nach Neuanmeldung des Benutzerkontos – in diesem Fall des Computerkontos und somit erst nach Neustart des Computers angewendet werden.
Sofern LDAP-Sperrlistenverteilpunkte konfiguriert sind, wird deren Veröffentlichung solange mit der gleichen Fehlermeldung fehlschlagen, bis die Zertifizierungsstelle Mitglied der "Cert Publishers" Sicherheitsgruppe ist und die Gruppenmitgliedschaft durch Neustart des Servers angewendet wurde.
Weiterführende Links:
- Warum Active Directory integrierte Zertifizierungsstellen Mitglieder der "Pre-Windows 2000 Compatible Access" Sicherheitsgruppe sind
- Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"
Externe Quellen:
- Root CA Migration: Unable to find Root CA Computer Object (MSExchangeGuru.com)
Ein Gedanke zu „Bei der Installation einer Active Directory integrierten Zertifizierungsstelle erscheint die Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"“
Kommentare sind geschlossen.