L'administration basée sur les rôles permet de séparer les actions qu'un administrateur peut faire sur l'autorité de certification. En séparant les rôles, les erreurs ou les actes malveillants deviennent plus rares et plus complexes.

Les comptes d'administrations des autorités de certification ne devraient pas être membre du groupe « admins du domaine », « administrateur de l'entreprise », « administrateur de schéma ».

Dans une gestion par rôle des services de certificats, il est préférable de créer un groupe spécifique et de déléguer les autorisations.

Les personnes en charge de la gestion des PKI n'ont pas forcément de nécessité d'avoir un des permissions sur tous les objets de l'Active Directory. Le principe du moindre privilège devrait être appliqué dans la définition de vos rôles d'administration AD CS.

Nous allons définir des exemples de rôles que vous pourriez mettre en œuvre :

• Administrateurs de l'autorité
• Gestionnaire de Certificats 
• Opérateur de Sauvegarde
• Auditeur
• Porteur de certificats 
• Agent d'inscription de certificats
• Agent de récupération de clés