憑證範本權限設定

在 ADCS中, 憑證範本的安全性設定可透過授權控制哪些使用者或電腦可以註冊該憑證範本, 以及對其管理操作的權限, 這些設定位於憑證範本的「安全性」標籤中, 主要是透過 ACL(Access Control List)來實現:

。完全控制(Full Control): 可以修改所有範本設定, 包含權限本身, 僅建議授權給企業憑證管理員或安全性管理者

。讀取(Read): 此為必要權限, 使用者或電腦帳號可以讀取這個憑證範本的資訊, 若未勾選此權限, 其它權限(如註冊)也會無效w-studio.idv.tw

。寫入(Write): 允許修改範本屬性, 僅授權給管理人員或具有特殊管理需求的角色, 此為高風險權限, 應謹慎授與

。註冊(Enroll): 允許使用者或電腦使用這個範本來申請憑證, 常配合「讀取」權限一起授權

。自動註冊(Autoenroll): 允許系統透過群組原則, 自動為使用者或電腦註冊憑證, 需要同時擁有「讀取」和「註冊」權限

 權限指派對象:

。使用者帳戶或安全性群組: 指定哪些人可以註冊該憑證(如 VPN使用者)

。電腦帳戶或群組: 自動為伺服器或工作站註冊所需的憑證(如 Web Server、RDS)

。CA管理員群組: 管理憑證範本本身, 例如修改、授權控制等