组策略 自动安装证书。我们希望让每个域帐户，都可以自动得到一个域帐户的用户证书。通过组策略方式。请指教具体方案！

回答：请按照以下步骤进行：
1.在一台DC或域成员上从“添加/删除程序”中安装CA服务。在安装时请安装企业CA，因为只有企业CA才支持自动注册。

2.打开活动目录用户和计算机工具，将需要自动获得证书的域用户放到一个专门的OU，然后在此OU上建立一个GPO并编缉。如果是所有域用户，则直接编缉默认域策略。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

3.展开“用户配置”->“Windows设置” -> “安全设置” -> “公钥策略”，在右边面板中双击自动注册设置。

4.确认自动注册以及两个复选框均已被选中。

5.从MMC中添加“证书模板”管理单元，右键点击“用户”模板并复制。

6.输入新模板名称如“自动用户”，在“安全”选项卡下，为“Domain Users”赋予允许“自动注册”的权限。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

7.从MMC中添加CA管理单元，右键点击“证书模板”节点，然后选择新建证书模板，将第6步中的“自动用户”模板加入。

要点：组策略中必须为用户起用自动注册；用户必须对相应的证书模板有“自动注册”的权限。

更多关于如何设置证书自动注册的信息，请参考：
Certificate AutoEnrollment in Windows Server 2003
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/autoenro.mspx
穆骥 微软全球技术支持中心

证书的更多文章请参考
域用户自动注册/更新个人证书活动目录SEO
组策略自动分发电子邮件证书|活动目录域组策略配置证书自动注册活动目录SEO
证书迁移|迁移企业CA证书服务器活动目录SEO
Vista不能安装证书活动目录SEO
企业根CA会自动颁发EFS证书活动目录SEO
Outlook发送邮件时要求证书活动目录SEO
数字证书过期不能更新证书活动目录SEO
怎样删除子网CA证书活动目录SEO

如何删除企业中不存在的根证书从活动目录AD中活动目录SEO
web服务器ssl验证的证书过期了怎么办|iis证书更新活动目录SEO
迁移证书服务器|替换重新部署2003企业根CA 活动目录SEO
企业CA证书服务器|两个不同角色的CA能否在AD中同时存在活动目录SEO
DC报错EVENT ID13|ca证书服务器自动注册活动目录SEO

DC服务器重装时证书颁发机构如何重建活动目录SEO
EFS加密文件:无效恢复证书活动目录SEO
http://www.googlesyndicatedsearch.com/u/blogbus?hl=zh-CN&inlang=zh-CN&newwindow=1&ie=UTF-8&q=site:gnaw0725.blogbus.com+%E8%AF%81%E4%B9%A6&start=30&sa=N

组策略的更多文章请参考 组策略group policy专题
－－－gnaw0725