有关NDES管理帐号及用户帐号权限

IF your DC and CA use same server, when you use a domain user as NDES service account and configure it , system will propomt "Logon failure: the user has not been granted the requested logon type at this computer"

slove:

You must edit the "Default domain controllers policy" in Group Policy Editor.
Add the account that you will use for the NDES role to: Windows Settings/Security Settings/Local Policy/User Rights Assignment/Log on locally and log on as service.

This will allow you to set up the NDES role on a domain controller.

是域用户帐户

A. 是本地的 IIS_IUSRS 组的成员：你还可以使用 net localgroup IIS_IUSRS \ /Add 将 NDES 服务帐户添加到本地 IIS_IUSRS 组。

B.在配置的 CA 上具有请求权限

1. 在 NDES 要使用的 CA 上，使用具有管理 CA 权限的帐户打开证书颁发机构控制台。

2. 打开证书颁发机构控制台。右键单击证书颁发机构，然后单击"属性"。

• 
  

  • 在"选择用户、计算机、服务帐户或组"文本框中，键入 NDES 服务帐户的名称、单击"检查名称"，然后单击"确定"。
    
    

  • 确保选中 NDES 服务帐户。确保选中对应于"请求证书"的"允许"复选框。单击"确定"。
    

1. 在"安全"选项卡上，你可以看到具有请求证书权限的帐户。默认情况下，组"已验证用户"具有此权限。你创建的服务帐户将成为"已验证用户"的成员（如果正在使用该帐户）。如果"已验证用户"具有请求证书权限，则不需要授予其他权限。但如果不是这样，则应在 CA 上授予 NDES 服务帐户请求证书权限。执行此操作的步骤：

2. 单击"添加"。
   
   

C.在自动配置的 NDES 证书模板上具有读取和注册权限

D.在 Active Directory 中具有服务主体名称 (SPN) 集,

1. 确保你使用的帐户是 Domain Admins 组的成员。以管理员身份打开 Windows PowerShell 或命令提示符。

2. 使用以下命令语法为 NDES 服务帐户注册服务器主体名称 (SPN)：setspn -s http/ \。例如，若要在名为 CA1 的计算机上运行的 cpandl.com 域中注册登录名为 NdesService 的服务帐户，请运行以下命令： setspn -s http/CA1.cpandl.com cpandl\NdesService