L'administrateur d'une autorité de certification AD CS, peut affecter des rôles aux utilisateurs. Un utilisateur pourrait avoir plusieurs rôles au sein AD CS. Il est recommandé de séparer les rôles. Il est également possible d'activer la séparation des rôles aux niveaux de l'autorité de certification.
Avant d'activer la séparation des rôles, chaque utilisateur ne doit disposer que d'un seul rôle. Un utilisateur qui dispose de plusieurs rôles pourrait être bloqué dans ses tâches d'administrations.
Pour activer ou désactiver la séparation des rôles vous devez disposer du droit « administrateur local » sur le serveur détenant le rôle AD CS.
La commande suivante permet d'activer la séparation des rôles. La modification nécessite un redémarrage des services de certificats.
CertUtil.exe -setreg CA\RoleSeparationEnabled 1
net stop certsvc && net start certsvc
Pour désactiver la séparation des rôles, utilisez la commande suivante et redémarrer l'autorité de certification.
CertUtil.exe -delreg CA\RoleSeparationEnabled
net stop certsvc && net start certsvc
Attention à créer les rôles pour des groupes spécifiques avant d'activer ce paramètre. |