可以使用以下过程通过组策略将帐户联合服务器、资源联合服务器和 Web 服务器的相应安全套接字层 (SSL) 证书(或链接到受信任根的等效证书)向下推送到帐户伙伴林中的每台客户端计算机。
Active Directory 域服务(AD DS)中的 域管理员 或 企业管理员或等效成员身份是完成此过程所需的最低要求。 若要查看有关使用适合的帐户和组成员身份的详细信息,请参阅本地默认组和域默认组(http://go.microsoft.com/fwlink/?LinkId=83477).
使用组策略将证书分发到客户端计算机
在帐户伙伴组织林中的域控制器上,启动“组策略管理”单元。
查找现有的组策略对象(GPO),或创建新的 GPO 以包含证书设置。 确保 GPO 与适当的用户和计算机帐户所在的域、站点或组织单位(OU)相关联。
右键单击 GPO,然后单击“ 编辑”。
在控制台树中,打开 “计算机配置\策略\Windows 设置\安全设置\公钥策略”,右键单击“ 受信任的根证书颁发机构”,然后单击“ 导入”。
在“ 欢迎使用证书导入向导” 页上,单击“ 下一步”。
在“ 要导入的文件 ”页上,键入相应证书文件的路径(例如 \\fs1\c$\fs1.cer),然后单击“ 下一步”。
在 “证书存储 ”页上,单击“ 放置以下存储区中的所有证书”,然后单击“ 下一步”。
在 “完成证书导入向导” 页上,验证你提供的信息是否准确,然后单击“ 完成”。
重复步骤 2 到 6,为场中的每个联合服务器添加其他证书。