步驟 3: 認可新的子授權憑證

自動認可程序

如果您有代理程式，而且一切按計劃進行，經過 30 天後，所有的代理程式應該都已經簽入，並收到新的憑證，而且系統已自動認可新的子授權單位憑證。 如需詳細資訊，請參閱發出認可後會發生什麼？之下的動作。

手動認可程序

基於下列因素，您可能會選擇手動發出認可指令:

• 如果您沒有代理程式，可手動強制認可而不需要等候 30 天。
• 如果存在代理程式且系統在 30 天後 (或如維護工作中的 Security Controls 內部最佳化所定義) 未自動提交至新憑證，請評估未進行提交的原因。

您執行認可時，Stmgmt.exe -commit_authority 將顯示預期失效的電腦名稱。

有一些未完成的問題、錯誤或警告導致無法自動認可。 最可能的因素是代理程式相關的問題，例如一個或多個孤立的代理程式尚未簽入 (以後也不會簽入)。 您可以執行的選擇是 (1) 找出讓這些代理程式簽入的方式、(2) 從「電腦檢視」中刪除電腦、(3) 標記電腦以解除安裝其代理程式 (即使電腦從未簽入以接收解除安裝命令，事實是 Security Controls 還是會指示解除安裝代理程式應該足以解決該電腦的錯誤/問題)，或 (4) 您可以手動發出提交，並永久孤立這些代理程式電腦。

測試模式

您可以在 commit_authority 指令中使用測試模式顯示執行認可的潛在問題。 指令是: stmgmt.exe -commit_authority -test

您分析這些資訊後，即可作出如何執行認可的明智決定。 在某些情況下，您可能會選擇強制認可並刻意孤立有問題的特定電腦。

若要強制認可

使用下列指令:stmgmt.exe -commit_authority -force

如果您強制認可，而且想要保留尚未簽入的代理程式，您需要在這些電腦上重新安裝代理程式 (代理程式將無法使用控制台建立的組態資訊，而且很可能無法簽入)。

發出認可後會發生什麼？

發出認可指令時，系統將停止使用原始的自我簽署 憑證，而會開始使用全新子授權單位憑證。 具體而言，下列動作將發生:

• 將自動從子授權單位憑證發出新的控制台憑證，並儲存於控制台電腦上電腦帳戶的個人存放區。
• 當安裝新的代理程式，或現有代理程式之憑證需要重新發出時，便會自動發出新的代理程式憑證。 此程序對您的網路效能影響應該很小。