映射策略

客户端证书映射十分灵活，因为其中的三种映射方法都可用于将客户端证书映射到用户帐户。可以将客户端证书映射到任意数量的用户帐户上。类似地，可以将任意数量的客户端证书映射到单个用户帐户上。

证书映射可用于多种情况，其中包括：

• 大型网络 拥有大量客户端证书的网络可使用多对一或目录服务 (DS) 映射。您可以创建一个或多个匹配规则，将证书映射到一个或多个 Windows 用户帐户。
• 小型网络 用户数量很少的网络可以使用一对一映射以便更好地控制证书的使用和吊销，也可使用多对一映射以简化管理。
• 额外的安全措施 对于用户很少且要求额外安全措施的资源，您可使用一对一映射。这样，您可以确保仅使用了特定的证书。这样可以更好地执行证书撤销策略。
• Internet 使用证书验证的 Internet 站点可通过接受各种证书，并将其映射到与 IUSR_computername 帐户具有类似权限的帐户来使用多对一映射。
• 按证书颁发机构 要映射所有使用特定机构颁发的客户端证书进行登录的用户，可以使用多对一映射。然后，可以定义一个匹配规则，以自动将该机构颁发的任何证书映射到某个用户帐户。

注意 如果要使用映射将网站集成到 Windows 域中，则使用 Windows 目录服务映射器可获得最佳效果。有关详细信息，请参阅 Windows 帮助中的将证书映射到用户帐户。

© 1997-2003 Microsoft Corporation。保留所有权利。