Die Installation der Standard-Zertifikatvorlagen schlägt fehl mit Fehlermeldung "This security ID may not be assigned as the owner of this object."

Folgendes Szenario angenommen:

• Es soll erstmalig eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) im Netzwerk installiert werden.
• Die Rechte für die Installation der Zertifizierungsstelle wurden aus Sicherheitsgründen auf eine separate Sicherheitsgruppe oder ein separates Konto delegiert, sodass keine Anmeldung als Enterprise Administrator erforderlich ist. Andersherum formuliert: Der verwendete Benutzer ist nicht Mitglied der Gruppe "Enterprise Administrators" in der Active Directory Gesamtstruktur.
• Da es sich um die erste Zertifizierungsstelle im Netzwerk handelt, sind noch keine Standard-Zertifikatvorlagen im Active Directory installiert. Beim Öffnen der Verwaltungskonsole für Zertifikatvorlagen (certtmpl.msc) wird man aufgefordert, diese zu installieren.
• Die Installation schlägt mit folgender Fehlermeldung fehl:

Windows could not install the new certificate templates. This security ID may not be assigned as the owner of this object.

Beim Versuch, die Standard-Zertifikatvorlagen per certutil zu installieren, kommt eine vergleichbare Fehlermeldung:

CertUtil: -InstallDefaultTemplates command FAILED: 0x8007051b (WIN32: 1307 ERROR_INVALID_OWNER)
CertUtil: This security ID may not be assigned as the owner of this object.

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Die Installation der Standard-Zertifikatvorlagen muss einmalig durch ein Konto mit Enterprise Administrator Rechten vorgenommen werden, da für das Erstellen der Standard-Zertifikatvorlagen das Recht "Restore Files and Directories" auf Domänencontrollern benötigt wird.

Die Erstellung der Standard-Zertifikatvorlagen kann mit folgendem Befehl vorgenommen werden:

certutil -installdefaulttemplates

Dieser Befehl kann auch von einem Domänencontroller ohne Installation zusätzlicher Software ausgeführt werden, da er zum Standard-Lieferumfang des Windows-Betriebssystems gehört.

Hierbei ist allerdings darauf zu achten, dass der Befehl mit erhöhten Rechten (Run as Administrator) ausgeführt wird, da ansonsten die Fehlermeldung ERROR_DS_INSUFF_ACCESS_RIGHTS gemeldet wird.

CertUtil: -InstallDefaultTemplates command FAILED: 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
CertUtil: Insufficient access rights to perform the operation.

Weiterführende Links:

• (Neu-) Installieren der Microsoft Standard Zertifikatvorlagen

Externe Quellen

• Delegated Installation for an Enterprise Certification Authority (Microsoft Corporation)
• Error loading default templates on new Enterprise Root CA (Microsoft TechNet Foren)