我的 AD 設定顯然存在與憑證服務功能相關的漏洞。回想一下我參加過的 MS Server 課程,我不記得任何內容,所以我在網路上查了一下,我傾向於「不」。
我不會在內部生成任何證書 - 允許工作站進行自簽名,並且我的父組織需要遵循以下步驟在我們的伺服器上本地生成證書請求,然後將其傳遞給第三方 CA。這似乎是ADCS的主要功能,我似乎沒有使用它。
使用者不使用 PKI,只使用使用者名稱和密碼,而且 ADCS 似乎與驗證與智慧卡令牌關聯的 CA 有關。我可能弄錯了,這與此無關。
那麼僅刪除 ADCS 安全性嗎?我相信如果您將某些內容升級到網域控制器(或至少添加角色),它就會預設安裝,但我想不起我與它互動的任何時間。
這些 DC 運行 Server 2012 和 2019(前者將在不久的將來被淘汰,並將被 Server 2019 所取代)。
答案1
刪除 Active Directory 憑證服務是安全性的。如果您不將其用於任何認證,則可以將其刪除。最近,當我們更換網域控制站和 DHCP 伺服器時,我們在公司中刪除了它,一切都正常運作。