Eu tenho dois domínios do Active Directory em duas florestas separadas, todas em níveis funcionais do Windows Server 2008 R2. Existe uma confiança de floresta bidirecional entre os domínios.
O domínio A contém uma Autoridade de Certificação Raiz do Windows Server 2008 R2 Enterprise; seu certificado raiz é confiável por todos os computadores no domínio; existem políticas de registro automático para emitir automaticamente um certificado de computador para cada computador no domínio (mais de um para os DCs, como de costume).
O domínio B não contém Autoridade de Certificação, mas o certificado raiz da autoridade de certificação do domínio A é atribuído como um certificado raiz confiável a todos os computadores no domínio por meio da Diretiva de Grupo, portanto, qualquer certificado emitido por essa CA é tratado como válido.
Posso configurar as políticas de registro automático no Domínio B para que cada computador no Domínio B solicite e obtenha automaticamente um certificado da Autoridade de Certificação no Domínio A?
Se sim, como?
O registro entre florestas pode ser feito seguindo o guia localizado no link . Isso copia os modelos e as entidades de segurança necessárias para oferecer suporte ao registro automático.
Advertência: Só usei isso para oferecer suporte a Inscrição na Web, por isso não verifiquei pessoalmente se ela pode ser enviada por meio da política de grupo. Dito isso, se não puder, sei que isso pode ser feito por meio de um script de inicialização que chama o CertUtil.