#language cs ## 20160503 AK ---- '''česky''' | [[ActiveDirectory/DE|deutsch]] | [[ActiveDirectory|english]] ---- = Jak distribuovat kořenové certifikáty CAcert z aktivního adresáře na všechny počítače = [Aktivní adresář (Active Directory) je databáze domény Microsoft. Obsahuje údaje o všech počítačích, tiskárnách, uživatelích, skupinách počítačů a uživatelů, právech atd. Kromě toho lze objekty domény členit do tzv. organizačních jednotek (Organization Units, OU). Těmto OU, celé doméně a jejím serverům-řadičům lze přidělit tzv. objekty skupinové politiky (Group Policy Objects, GPO, čili objekty zásad skupin) s různým nastavením, které se šíří po síti do cílových objektů. Jedním z mnoha nastavení jsou i kořenové certifikáty různých CA.] * Následující kroky je třeba provést v objektech skupinových zásad (Group Policy Objects) Windows serveru 2008: * Otevřete GPO organizační jednotky (OU) klientských počítačů, které mají být konfigurovány (nebo celé domény MS): Administrative Tools -> Group Policy -> rozbalte doménu nebo OU, objeví se objekty zásad -> klik pravým tlačítkem myši na zvoleném objektu zásad -> Edit... . česká lokalizace: Nástroje pro správu -> Správa zásad skupiny -> rozbalte doménu nebo OU, objeví se objekty zásad -> klik pravým tlačítkem myši na zvoleném objektu zásad -> Upravit... - otevře se editor správy zásad skupiny (Group Policy Editor) * Zvolte Computer Configuration --> Policies -> Windows Settings --> Security Settings --> Public Key Policies --> Trusted Root Certification Authorities . česká lokalizace: Konfigurace počítače -> Zásady -> Nastavení systému Windows -> Nastavení zabezpečení -> Zásady veřejného klíče -> Důvěryhodné kořenové certifikační úřady * Klikněte pravým tlačítkem myši na 'Trusted Root Certification Authorities' (Důvěryhodné kořenové certifikační úřady) --> Importovat... * Zadejte soubor kořenového certifikátu důvěryhodné kořenové CA. * Zavřete editor správy zásad skupiny (Group Policy Editor). * Co nejdříve replikujte změny Aktivního adresáře (ActiveDirectory) do všech doménových kontrolérů (DC) (-> požádejte správce domény) * Aktualizujte objekty zásad skupiny (Group Policy Objects) na klientských počítačích (pracovních stanicích) (WinXP, Win 7, Win 8: 'gpupdate /force' z okna příkazového řádku) Zdroj: [[http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=7599485&forum_id=75362]] == Výsledek == {{attachment:AD-GPO-rootcert-1.png}} ---- . CategoryStepByStep . CategoryTutorials