He implementado una PKI de CS de Windows AD de 2 niveles. Para 802.1x estoy usando la inscripción automática para distribuir certificados de computadora automáticamente a cualquier computadora unida al dominio.
Actualmente, utilizo una única plantilla de computadora para todas las computadoras, tanto servidores como estaciones de trabajo. Esta plantilla incluye la autenticación de cliente, la autenticación de servidor y los EKU de autenticación de escritorio remoto.
Para las estaciones de trabajo, la autenticación del cliente es todo lo que se requiere, pero ¿los EKU adicionales establecidos en el certificado son un problema de seguridad?
(De forma predeterminada, no hay grupos que separen los servidores de las estaciones de trabajo, por lo que no puede asignar diferentes plantillas de certificado de inscripción automática a los servidores y estaciones de trabajo. Es posible crear un grupo de servidores y agregar servidores a este grupo, pero esto agrega una acción manual adicional. )