Главная Security, Без рубрики, Новое Работа с Инфраструктурой Открытых Ключей. Cross-forest Certificate Enrollment
  • Работа с Инфраструктурой Открытых Ключей. Cross-forest Certificate Enrollment

    DCF 1.0Windows Server 2008 R2 позволяет обеспечить выдачу сертификатов не только клиентам леса, в котором расположен сам УЦ[i], но также и клиентам других лесов. О целях использование этой технологии пойдет речь в настоящей статье.

     

    Еще не так давно, когда осуществлялось проектирование инфраструктуры открытых ключей в масштабах предприятия, нам приходилось учитывать тот факт, что корпоративный УЦ Microsoft (Enterprise CA) обеспечивал выдачу и управление цифровыми сертификатами открытого ключа только в рамках леса Active Directory. Таким образом, при необходимости обслуживания нескольких лесов AD в рамках единого предприятия, или объединенных кампаний (холдинги и т. п.), приходилось предусматривать проектирование более сложных решений с точки зрения PKI[ii]. С появлением Windows Server 2008 R2, Microsoft предусмотрел возможность обслуживания клиентов, принадлежащих другим лесам. Эта технология называется Cross-forest Certificate Enrollment.

     

    Цели использования Cross-forest Certificate Enrollment

    Потребность использования Cross-forest Certificate Enrollment может возникать в ряде случаев, например, речь может идти о компании, служба каталогов которой состоит из нескольких лесов. Причинами возникновения такой конфигурации службы каталога могут быть: требования безопасности, например потребность в функционально независимых структурах, так и ситуация объединения, поглощение компаний, ну и наконец неэффективное построение службы каталога. В одном из проектов мне встретилась ситуация когда в организации уже шел процесс по консолидации нескольких независимых лесов в единый лес и параллельно внедрялась инфраструктура открытых ключей для обеспечения двухфакторной аутентификации. И, поскольку, требования заказчика были таковы, что двухфакторная аутентификация должна быть реализована как можно скорее, а процесс перехода из распределенной структуры с несколькими лесами к единому лесу затягивался, то было принято решение о параллельном развитии двух проектов. Таким образом, обеспечение Cross-forest Certificate Enrollment было оправдано.

    Так или иначе, ситуация возникновения нескольких лесов в силу тех или иных причин нередко встречается. Повышения уровня безопасности предприятия на основе инфраструктуры открытых ключей все чаще становится насущной необходимостью. Требуется обеспечить конфиденциальность переписки, есть необходимость зашифровать данные пользователя, внедрить мультифакторную аутентификацию при доступе пользователей к службам каталога, решить вопрос безопасной аутентификации в беспроводных сетях, реализовать безопасный обмен информацией по сети, и. т. д. Все эти задачи решаются на основе технологий асимметричной криптографии. Однако использование PKI часто сдерживается недостаточной зрелостью компании и сложностью поддержания подобных решений.

    Необходимо обеспечить возможность построения единой системы PKI для обслуживания всей компании, в составе которой может быть несколько лесов.

    И, разумеется, использование решения, обслуживающего все предприятие в целом, позволяет сократить совокупную стоимость владения системой. Следовательно, технология Cross-forest Certificate Enrollment может оказаться полезной.

     

    Терминология

     

    Прежде чем говорить о подходах к решению задачи, необходимо определится с терминологией, которой нам предстоит воспользоваться. Некоторые элементы, несомненно, покажутся знакомыми из предыдущих материалов журнала, но тем не менее обратить на них внимание не будет лишним.

    Сертификат открытого ключа — структура данных, состоящая из раздела данных и раздела подписи. В первом содержатся открытые данные, включающие, как минимум, открытый ключ и строку, идентифицирующую сторону (представляемый объект). Во втором — цифровая подпись органа сертификации. На практике наиболее часто используются сертификаты формата Х.509. Цифровой сертификат включает в себя только открытые общедоступные данные.

    Инфраструктура открытых ключей представляет собой совокупность цифровых сертификатов, центров регистрации и удостоверяющих центров, цель которых проверка подлинности участников обмена зашифрованными сообщениями.

    Удостоверяющий Центр (УЦ), Центр сертификации (Certification Authority – CA) — доверенная третья сторона, чья подпись под сертификатом подтверждает подлинность открытого ключа, связанного с представляемым объектом.

    Функции Удостоверяющего Центра:

    · Подтверждает аутентичность запрашивающего сертификат объекта. Механизмы проверки зависят от типа CA.

    · Выдает сертификаты. Информация в сертификате определяется шаблоном сертификата.

    · Управляет отзывом сертификатов. Список отзыва сертификатов (CRL) гарантирует невозможность использования скомпроментированных сертификатов. К таковым сертификатам могут быть отнесены сертификаты субъектов, доверие к которым подорвано, прекращено, или временно приостановлено.

    Электронная цифровая подпись (ЭЦП) — это последовательность символов, полученная в результате преобразования определенного объема информации по установленному математическому алгоритму с использованием секретного ключа, имеющая неизменяемое соотношение с каждым символом данного объема информации.

    Ресурсный лес (Resource Forest) – AD, или AD DS лес, в котором развернута PKI на основе УЦ на базе Windows Server 2008 R2, цель которой – обеспечение выдачи сертификатов открытого ключа клиентам, как в своем, так и в доверенных лесах. Указанный лес содержит мастер копию объектов AD, которые используются клиентами и серверами ADCS.

    Лес учетных данных (Account forest) – лес AD, или AD DS, в котором располагаются пользователи, компьютеры, службы, запрашивающие сертификаты открытого ключа с УЦ на базе Windows Server 2008 R2, расположенного в ресурсном лесу.

     

    Требования для внедрения решения

     

    Рассмотрим, как будет выглядеть общая структура Cross-forest Certificate Enrollment

    Выбирается ресурсный лес, внутри которого разворачиваются корпоративные издающие УЦ, получающие сертификаты от корневого УЦ компании. Инфраструктура PKI может являться как двухуровневой, так и трехуровневой. На рис. приводится двухуровневая схема. Иерархия определяется бизнес требованиями и требованиями безопасности компании.

    Между ресурсным лесом и лесами учетных данных устанавливаются доверительные отношения.

    Разворачиваются точки распространения сертификатов и списков отзыва сертификатов, обеспечивается их отказоустойчивость, и предоставляется доступ клиентам.

    Реализуются механизмы синхронизации данных между ресурсным лесом и лесами учетных данных.

    Обеспечивается публикация необходимой информации в службах каталогов всех лесов компании.

    Пример общей структурной схемы приводится на рис. 1.

    Рассмотрим подробный список требований. Итак, что же предстоит выполнить:

    1. Установить двусторонние доверительные отношения между ресурсным лесом и лесами учетных данных;

    2. В ресурсном лесу развернуть УЦ на основе Windows Server 2008 R2 Enterprise;

    3. Предоставить требуемые разрешения объектам учетных лесов на соответствующие шаблоны сертификатов в ресурсном лесу;

    4. Издающие УЦ должны быть настроены на поддержку LDAP перенаправления (LDAP referrals). Потребуются полномочия локального администратора на УЦ.

    5. Издающий УЦ должен быть добавлен в группу Cert Publishers каждого леса/домена учетных данных.

    6. Точки распространения AIA и CDP должны быть доступны на чтение для всех пользователей каждого леса учетных данных.

    7. Сертификату корневого УЦ должны доверять клиенты любого леса организации. Для публикации сертификата корневого УЦ требуются права Enterprise Admin в лесу учетных данных. Публикация выполняется во всех лесах, задействованных в проекте.

    8. Сертификаты издающих УЦ должны быть опубликованы в контейнерах NTAuth во всех лесах учетных данных. Для публикации сертификатов издающих УЦ требуются права Enterprise Admin в лесу учетных данных. Публикация выполняется во всех лесах, задействованных в проекте (список лесов и доменов см. в Табл. 1).

    9. Сертификаты издающих УЦ должны быть опубликованы в контейнере AIA во всех лесах учетных данных. Для публикации сертификатов издающих УЦ требуются права Enterprise Admin в лесу учетных данных.

    10. Объект CA на УЦ Windows Server 2008 R2 ресурсного леса должен быть доступен в контейнере Enrollment Services во всех лесах учетных.

    11. Данные ADCS должны быть доступны во всех лесах, задействованных в проекте.

    12. Перечень контейнеров, которые должны быть синхронизированы, приводится ниже:

    a. Enrollment Services

    b. Certificate Templates

    c. OID

    13. Шаблоны сертификатов ресурсного леса должны быть доступны во всех лесах учетных данных.

    14. Клиентами УЦ могут быть OC Windows XP, Windows Server 2003, или выше.

    schema

    Рис. 1.

    Развертывание базовой инфраструктуры

    Удостоверяющие центры

    Для того, чтобы обеспечить возможность выдачи цифровых сертификатов субъектам в других лесах, необходимо выполнить внедрение базовых составных элементов системы, т. е. необходимо развернуть инфраструктуру открытого ключа в ресурсном лесу. Как уже упоминалось ранее, речь, как правило, идет о двух или трехуровневой иерархии УЦ. Обычно будет достаточно двух уровней. Таким образом, мы подразумеваем установку автономного корневого удостоверяющего центра (Offline Root CA), и подчиненных издающего/издающих корпоративных удостоверяющих центров (Enterprise Subordinate CA). Несомненно, следует обеспечить безопасность и отказоустойчивость базовой инфраструктуры.

    Методика развертывания PKI в корпоративной среде приводится в цикле статей Андрея Бирюкова «Разворачиваем PKI на Windows Server 2008» (№ 6-8 2010 г. ).

    Принципы проектирования инфраструктуры открытых ключей приводятся в моей статье «Инфраструктура открытых ключей. Проектирование. Теоретические основы» (№ 10 2010 г.).

     

    Точки распространения

    Кроме того, необходимо предусмотреть доступ к цепочкам сертификатов УЦ и списком отзыва сертификатов всех УЦ, задействованных в проекте. Это может быть реализовано с помощью опубликования на корпоративном Web портале, доступ к которому, во всяком случае, в той его части, которая отвечает за хранение сертификатов и списка отзыва сертификатов, должен быть предоставлен всем субъектам участникам взаимодействия, независимо от их принадлежности к тому или иному лесу AD в компании.

     

    Настройка УЦ для обеспечения взаимодействия между лесами. Публикация данных в службе каталогов.

     

    1. Для обеспечения возможности взаимодействия УЦ и клиентов в других лесах необходимо обеспечить перенаправление LDAP. Этот функционал поддерживается в Windows Server 2008 R2. По-умолчанию эта возможность отключена.

    Для включения на всех издающих УЦ выполняется команда:

    certutil -setreg Policy\EditFlags +EDITF_ENABLELDAPREFERRALS

    Выполнение команды необходимо осуществить от имени учетной записи локального администратора.

    Для отключения указанной возможности выполняется команда:

    certutil -setreg Policy\EditFlags -EDITF_ENABLELDAPREFERRALS

    Для того, чтобы изменения вступили в силу выполняется рестарт службы сертификатов, что в свою очередь может быть выполнено с помощью приведенной ниже команды:

    net stop certsvc && net start certsvc

    2. При развертывании корпоративного издающего УЦ, его УЗ автоматически добавляется в группу Cert Publishers своего леса, однако не происходит добавления в соответствующие группы лесов, с которыми установлены доверительные отношения. Необходимо добавить УЗ всех издающих УЦ в группы Cert Publishers всех лесов учетных данных для обеспечения возможности УЦ осуществлять публикацию выданных сертификатов в объектах УЗ пользователя в AD указанных лесов.

    3. Необходимо опубликовать сертификат корневого УЦ в ресурсном лесу и лесах учетных данных.

    Для этого выполняется экспорт сертификата корневого УЦ:

    certutil -config <CA machine name>\<CA Name> -ca.cert <file name>

    4. После этого полученный файл переносится во все леса учетных данных и выполняется публикация сертификата в службе каталогов AD DS:

    certutil -dspublish -f <RootCACertificateFile> RootCA

    Процедура публикации сертификата корневого УЦ осуществляется от имени УЗ, являющейся членом группы Enterprise Admins. Следует иметь ввиду, что публикация сертификата корневого удостоверяющего центра происходит и в исходном ресурсном лесу.

    Примечание: опубликованный сертификат не появится в хранилище клиентов до обновления групповых политики. Репликация Службы каталога AD DS оказывает влияние на сроки обновления групповых политик.

    Для проверки корректной публикации сертификата корневого УЦ в ЕСК выполняется команда:

    Certutil -viewstore "ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<ForestRootNameSpace>?cACertificate"

    5. Необходимо опубликовать сертификаты издающих УЦ ресурсного леса в хранилище NTAuth всех лесов компании. Указанный контейнер является хранилищем сертификатов всех УЦ, которым разрешается выдавать сертификаты для аутентификации в Windows. Таким образом, публикация сертификатов издающих УЦ в этом контейнере для всех лесов обязательна. Публикация сертификатов издающих УЦ выполняется с помощью следующей команды:

    certutil -dspublish -f <Cacertificate.cer> NTAuthCA

    Процедура публикации сертификатов издающих УЦ осуществляется от имени УЗ, являющейся членом группы Enterprise Admins соответствующего леса.

    Для проверки корректной публикации сертификатов издающих УЦ в контейнере NTAuth соответствующих лесов выполняется команда:

    certutil viewstore "ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<ForestRootNameSpace>?cACertificate"

    6. Следует обеспечить публикацию сертификатов издающих УЦ во всех лесах учетных данных в контейнерах AIA. Для этого выполняется экспорт сертификатов издающих УЦ в файл с помощью команды:

    certutil -config <CA machine name>\<CA Name> -ca.cert <file name>

    На следующем шаге в каждом лесу учетных данных выполняется следующая команда:

    certutil -config <CA machine name>\<CA Name> -ca.cert <file name>

    Процедура публикации сертификатов издающих УЦ осуществляется от имени УЗ, являющейся членом группы Enterprise Admins соответствующего леса.

    certutil -dspublish -f <CACertificateFile> SubCA

    Для проверки корректной публикации сертификатов издающих УЦ выполняется команда:

    certutil -viewstore "ldap:///CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<ForestRootNameSpace>?cACertificate?one?objectClass=certificationAuthority"

    Синхронизация данных между лесами

    Существуют три типа объектов AD, которые задействованы в процессе издания и выдачи сертификатов в корпоративной среде:

    · Enrollment Services – контейнер, содержащий информацию об издающих УЦ;

    · Certificate Templates – контейнер содержащий информацию о шаблонах сертификатов;

    · OID – какие OID используются в шаблонах сертификатов.

    Все эти контейнеры располагаются в AD в следующей области:

    CN=Public Key Services,CN=Services,CN=Configuration,DC=<ForestRootNameSpace>

    Необходимо обеспечить копирование указанных объектов из ресурсного леса во все леса учетных данных. Это будет обеспечиваться посредством специализированного сценария, который доступен на сайте компании Microsoft (PKISync.ps1). Первоначальное выполнение скрипта должно быть осуществлено после завершения окончательной настройки всех издающих УЦ во всех лесах. Выполнение указанного скрипта осуществляется на специально выделенной станции администратора безопасности, являющейся членом домена и обладающей возможностью доступа к ресурсному лесу и лесам учетных данных, от имени УЗ, обладающей достаточным набором прав (Domain Admins либо Enterprise Admins целевого леса).

    Запуск процедуры синхронизации данных осуществляется с помощью приведенной команды:

    .\PKISync.ps1 -sourceforest <SourceForestDNS> -targetforest <TargetForestDNS> [-f]

    Кроме того, запуск указанных сценариев синхронизации должен осуществляться при любом из нижеприведенных изменений:

    1. Создание, изменение, удаление шаблонов сертификатов.

    2. Добавление или удаление шаблонов сертификатов на издающем УЦ.

    3. Установка или удаление УЦ.

    4. Обновление сертификата УЦ.

    5. Изменение разрешений безопасности на УЦ.

    Наиболее простой способ обеспечение своевременной синхронизации данных настройка расписания выполнения сценария синхронизации. Разумно предусмотреть ежедневный запуск скриптов синхронизации данных между ресурсным лесом и лесами учетных данных.

     

    Итак, мы увидели, что

    1. Windows Server 2008 R2 предоставляет нам возможность внедрения единой инфраструктуры открытого ключа, даже если речь идет о компании, служба каталога которой включает несколько независимых лесов. То есть снимается ограничение, что одна структура PKI может обслуживать только один лес AD.
    2. Внедрение предлагаемого решения в корпоративной среде позволит существенно сократить финансовые затраты, как на само проектирование и развертывание, так и на обслуживание системы.

    Леонид Шапиро.

     

    Литература

    [1] http://technet.microsoft.com/ru-ru/library/ff955842(WS.10).aspx

    [2] Андрей Бирюков «Разворачиваем PKI на Windows Server 2008» (Системный Администратор № 6-8 2010 г.).

    Статья опубликована в журнале “Системный Администратор”.

     


    [i] УЦ – Удостоверяющий Центр, Центр Сертификации, Certification Authority

    [ii] PKI – Public Key Infrastructure, Инфраструктура Открытого Ключа

Комментарии

  1. Спасибо за статью!
    Занес в закладки 🙂

  2. Какой-то сумбур получился, а не статья про cross-forest enrollment.

    > доверенная третья сторона

    первая, как я понимаю, это владелец конкретного открытого ключа. А вторая сторона — это кто?

    > Электронная цифровая подпись (ЭЦП) — это последовательность символов, полученная в результате преобразования определенного объема информации по установленному математическому алгоритму с использованием секретного ключа, имеющая неизменяемое соотношение с каждым символом данного объема информации.

    прочитал 3 раза — ничего не понял.

    > AD, или AD DS лес

    в чём принципиальное отличие леса AD от леса AD DS?

    > Сертификаты издающих УЦ должны быть опубликованы в контейнерах NTAuth во всех лесах учетных данных.

    это нужно, если будут использоваться логонные сертификаты.

    > Объект CA на УЦ Windows Server 2008 R2

    что, что?

    > во всех лесах учетных.

    учётных что?

    > Для проверки корректной публикации сертификата корневого УЦ в ЕСК выполняется команда:

    что есть ЕСК?

    > Certutil -viewstore “ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=?cACertificate”

    вы сертификат публикуете в Certification Authorities, а проверяете, почему-то, его наличие в NTAuthCertificates.

    > На следующем шаге в каждом лесу учетных данных выполняется следующая команда:

    > certutil -config -ca.cert

    детектирую, что здесь должна быть немного другая команда. И в этом блоке текста что-то напутано. Вы сначала публикуете сертификат издающих CA в NTAuthCA и только потом рассказываете, как получить этот сертификат.

    > Процедура публикации сертификата корневого УЦ осуществляется от имени УЗ, являющейся членом группы Enterprise Admins. Следует иметь ввиду, что публикация сертификата корневого удостоверяющего центра происходит и в исходном ресурсном лесу.

    если это делается в корневом домене леса, тогда domain admins корневого домена будет достаточно.

    > Необходимо обеспечить копирование указанных объектов из ресурсного леса во все леса учетных данных. Это будет обеспечиваться посредством специализированного сценария, который доступен на сайте компании Microsoft (PKISync.ps1)

    а ссылку на сам скрипт?

    > Добавление или удаление шаблонов сертификатов на издающем УЦ.

    в этом случае синхронизация объектов AD между лесами не нужна.

    вобщем, рекомендую сразу начать с этого документа: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=24768

  3. 1. AD или AD DS – имеется ввиду, что в качестве службы каталога ресурсного леса могут выступать как каталог, развернутый на Windows 2003 так и на Windows 2008.
    2. Ресурсным лесом называется лес, в котором разворачивается PKI, лесами учетных данных данных называются леса, пользователей которых мы обслуживаем. При этом предполагается, что это обслуживание выполняется PKI ресурсного леса.
    3. ЕСК. Прошу извинить, что не расшифровал свою аббревиатуру. ЕСК – Единая служба каталога.
    4. Неправильная проверка. Согласен. Мой ляп. Спасибо. Ошибка при редактировании. Разумеется, речь идет о проверке:
    certutil -viewstore “ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=?cACertificate?one?objectClass=certificationAuthority”
    5. Ссылка на скрипт: http://technet.microsoft.com/ru-ru/library/ff961506(WS.10).aspx Не думал, что это настолько принципиально, т. к. найти этот скрипт просто, но если Вы настаиваете…
    6. Добавление и удаление шаблонов сертификатов на издающем УЦ…не думаю, что Вы правы Microsoft считает иначе.

    Copying objects from the resource forest into the account forest is process which must be completed during initial setup and must be repeated after any of these events have occurred:
    1. Certificate template addition, deletion or change.
    2. Addition or removal of a certificate template from an issuing CA.
    3. Install or uninstall of a CA.
    4. CA certificate renewal.
    5. Change of the security permissions on the CA.

    7. Насчет Enterprise Admin… Не увидел принципиального момента, требующего уточнения о том, что, если мы говорим о корневом домене, то достаточно Domain Admins.

  4. 1) имхо, проще будет ограничиться каким-то одним термином.
    2) про ресурсный лес вроде понятно, а вот про цифровую подпись непонятно.
    5) «нагуглить можно всё»
    7) это просто моя вставка.

  5. Про ЭЦП – это одно из определений, встречающихся в литературе, по информационной безопасности, но можно, чтобы избежать двоякого понимания взять за основу определение, которое дается в ФЗ 1 об ЭЦП

    «электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе; »

  6. Такое ощущение, что вы пишите для биороботов. Своими словами нельзя никак?

  7. Вадим, полагаю, что в определениях, имеет смысл придерживаться каких-то стандартов. В этом смысле, закон об ЭЦП вполне может таковым являться. Но, разумеется, это вопрос предпочтений.

  8. Оставьте законы законникам и прочим юристам. Ваша задача заключается в обратном — донести до людей сложный материал в простой и понятной форме. Подобными формулировками вы сильно снижаете ценность поста.

  9. Вадим, при многолетнем уважении к Вам, встану здесь на защиту Леонида и законников. В сложных вопросах имеет смысл именно точная формулировка. Вольный пересказ исказит картину. Кстати, и снижает в глазах работодателей ценность админов, которые не могут выражать мысли казуистически. Ведь не каждый понимает, что установка, например, антивируса – это монтаж, изменение параметров – наладка и т.п. Написал бы кто статейку такую… А что касается ЭЦП, то кто сегодня не знает, что это такое?

  10. > В сложных вопросах имеет смысл именно точная формулировка.

    точная формулировка нужна, когда есть опасность неверного толкования. Опять же, здесь речь не идёт об ЭЦП, это лишь побочный компонент в рамках этой статьи, поэтому здесь можно и нужно было объяснить суть ЭЦП доступно для читателя.

    > Кстати, и снижает в глазах работодателей ценность админов, которые не могут выражать мысли казуистически.

    это миф. Потому что работодателям не нужна эта ваша казуистика. Если работник не может объяснить работодателю какую-то вещь так, чтобы это понял сам работодатель — работник может начинать искать себе новую работу. В нормальных организациях примерно так и есть.

    > Ведь не каждый понимает, что установка, например, антивируса — это монтаж, изменение параметров — наладка и т.п.

    ага, это чтобы поднять себе цену за операцию вида Next-Next-Finish.

    > А что касается ЭЦП, то кто сегодня не знает, что это такое?

    удивитесь, но многие не знают. Уж тем более вы, как MCT, должны это знать. Если не знаете, значит, очень плохо.

    Ок, поставим вопрос иначе. Леонид, расскажите, какую цель вы преследовали при написании данного поста?

  11. У меня тоже вопрос. Vadims, какую вы цель приследуете “любя” в комментариях Леонида?

    Вроде “трудности перевода” разрешили, ну а то, что авторов и читателей много, все разные со своими вкусами и подходами по 1001 разу доказывать смысла нет.

    P.S Никто не знает ЭЦП

  12. /жуёт попкорн

    Поддержу комментарий N11. Жениться тебе, барин, надо (ц)

  13. > > Кстати, и снижает в глазах работодателей ценность админов, которые не могут выражать мысли казуистически.

    > это миф. Потому что работодателям не нужна эта ваша казуистика. Если работник не может объяснить работодателю какую-то вещь так, чтобы это понял сам работодатель — работник может начинать искать себе новую работу. В нормальных организациях примерно так и есть.

    Я понимаю, Денис имеет в виду очень маленькие фирмы, где админ воспринимается как бородатый мужик в свитере, который бегает по компьютерам и мешает нормальной работе офиса, причем постоянно требует все больше денег на свои “игрушки”. Господа, оденьте дорогой костюм с гастуком, пригласите стороннюю организацию для прокладки очередного кабеля по офису, покажите счет – пусть видят, сколько все стоит… Работодатель не должен понимать, в “нормальных организациях” как раз по-другому все организовано. Кстати, в России закон о персональных данных вступил в силу неделю назад, кто не силен в казуистике, может попасть под ответственность, вплоть до уголовной…

    > > Ведь не каждый понимает, что установка, например, антивируса — это монтаж, изменение параметров — наладка и т.п.

    > ага, это чтобы поднять себе цену за операцию вида Next-Next-Finish.

    Вот любят на форумах друг друга обс%”ать!.. Чтобы никого не обижать лично, приведу пример из другой области. Имен не помню, происходило все после второй мировой войны, когда сделали атомную бомбу и физики были в почете. На один званый вечер пригласили известного физика, кажется Нильса Бора, не важно. Один из местных “аристократов” захотел с ним поговорить, а о чем можно с физиком говорить? Конечно, о физике. И задает какой-то вопрос из школьного курса. Так вот, кульминация. Известный физик попал врасплох, ответил невпопад и т.п. К чему все это. Нельзя быть экспертом во всем. Точка.

    > > А что касается ЭЦП, то кто сегодня не знает, что это такое?

    > удивитесь, но многие не знают. Уж тем более вы, как MCT, должны это знать. Если не знаете, значит, очень плохо.

    Что-то я не пойму, в Латвии и России не используют ЭЦП?!.. У нас в Беларуси все отчеты в Фонд соцзащиты и в налоговую подписываются электронной подписью, и так как система реализована плохо, то квалификации бухгалтера не хватает для ее использования. Приходится все админам делать.

  14. > Ок, поставим вопрос иначе. Леонид, расскажите, какую цель вы преследовали при написании данного поста?

    Наверняка, ставилась цель проинформировать меня о cross-forest enrollment. Цель достигнута. Автору спасибо. И хотя в технете написано лучше и больше, но я об этом ничего не слышал, хотя PKI давно занимаюсь (Next-Next-Finish 😉

  15. Не планируете рассказать о развертывании и настройке forefront tmg 2010?