Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.

1. Зарегистрируйтесь в системе, используя учетную запись с разрешениями на создание объектов групповой политики (GPO) и связывание GPO с доменом.

2. Выберите в оснастке «Active Directory — пользователи и компьютеры» объект домена, щелкнув его правой кнопкой мыши, после чего выберите пункт «Свойства».

3. На вкладке «Групповая политика» нажмите кнопку «Создать», после чего введите имя GPO (например Domain PKI Policies).

4. Щелкните «Изменить» и найдите пункт «Политики открытых ключей» в разделе Computer Configuration\Windows Settings\Security Settings.

5. На панели «Сведения» дважды щелкните элемент «Параметры автоматической подачи заявок».

6. Убедитесь в том, что выбраны перечисленные ниже элементы.

· Подавать заявки на сертификаты автоматически

· Возобновлять сертификаты с истекшим сроком действия, обновлять сертификаты в состоянии ожидания и удалять отозванные сертификаты

· Обновлять сертификаты, в которых используются шаблоны сертификатов

7. Повторите этапы 5 и 6 для пользовательских параметров автоматической подачи заявок на сертификаты в разделе User Configuration\Windows Settings\Security Settings\Public Key Policies.

8. Закройте объект групповой политики

9. Убедитесь в том, что этот объект групповой политики имеет более высокий приоритет, чем используемый по умолчанию объект групповой политики домена.

10. Если используется лес с несколькими доменами, повторите процесс для каждого домена, в котором будет включена автоматическая подача заявок на сертификаты.

Примечание. Если пользователи не используют перемещаемые профили, а автоматическая подача заявок на сертификаты разрешена во всей среде, сертификаты будут выдаваться пользователям при входе на каждый компьютер. При входе администраторов на серверы это может быть нежелательно. Чтобы это не происходило, рекомендуется создать для серверов объект групповой политики с целью отключения автоматической подачи заявок на сертификаты. Если нежелательно активировать автоматическую подачу заявок на сертификаты для всех пользователей, можно связать объект групповой политики с подразделениями, к которым относится подмножество пользователей, нуждающихся в автоматической подаче заявок.

Обеспечение доступа к беспроводной сети для пользователей и компьютеров

Заключительные этапы обеспечения защищенного доступа к беспроводной сети для пользователей и компьютеров включают несколько операций над объектами Active Directory. В число этих операций входят изменение разрешений учетных записей и разрешений групп и реализация параметров групповой политики беспроводной сети.

Добавление пользователей в группы политик удаленного доступа

В политике удаленного доступа службы проверки подлинности в Интернете группы безопасности, основанные на Active Directory, используются для определения того, разрешается ли пользователям и компьютерам устанавливать соединения с беспроводной сетью. В число этих групп безопасности, созданных в предыдущих разделах, входят:

• Remote Access Policy — Wireless Users
• Remote Access Policy — Wireless Computers
• Remote Access Policy — Wireless Access

Чтобы добавить пользователей и компьютеры в группы доступа к беспроводной сети, выполните следующие действия.

1. Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры».

2. Добавьте группы Remote Access Policy — Wireless Users и Remote Access Policy — Wireless Computers в группу Remote Access — Wireless Access.

3. Добавьте пользователей, которым разрешен доступ к беспроводной сети, в группу Remote Policy — Wireless Users.

4. Добавьте компьютеры, которым разрешен доступ к беспроводной сети, в группу Remote Policy — Wireless Computers.

Примечание. Если решено по умолчанию разрешить всем пользователям и компьютерам доступ к беспроводной сети, ради упрощения администрирования можно добавить группы пользователей домена и компьютеров домена в соответствующие группы политик.