Déployer MIM PAM avec Windows Server 2016
Ce scénario active MIM 2016 SP2 pour le scénario PAM à l’aide des fonctionnalités de Windows Server 2016 ou version ultérieure en tant que contrôleur de domaine pour la forêt « PRIV ». Quand ce scénario est configuré, l’utilisateur a un ticket Kerberos limité à la période restante de ses activations de rôles.
Préparation
Au moins deux machines virtuelles sont nécessaires pour l’environnement lab :
La machine virtuelle héberge le contrôleur de domaine PRIV, exécutant Windows Server 2016 ou version ultérieure
La machine virtuelle héberge le service MIM, en cours d’exécution Windows Server 2016 ou version ultérieure
Notes
Si vous ne disposez pas d’un domaine « CORP » dans votre environnement lab, vous devez avoir un contrôleur de domaine supplémentaire pour ce domaine. Le contrôleur de domaine « CORP » peut exécuter Windows Server 2016 ou Windows Server 2012 R2.
Effectuez l’installation conformément au Guide de prise en main, à l’exception des ajustements ci-dessous :
Si vous suivez les instructions de l’Étape 1 : préparer le contrôleur de domaine CORP pour créer un domaine CORP, vous pouvez le configurer pour qu’il soit au niveau fonctionnel Windows Server 2016. Si vous choisissez cette option, effectuez les ajustements suivants :
Si vous utilisez un média Windows Server 2016, l’option d’installation est appelée Windows Server 2016 (Serveur avec Expérience utilisateur).
Vous pouvez spécifier le niveau fonctionnel Windows Server 2016 pour la forêt et le domaine CORP en indiquant la valeur 7 comme numéro de version du domaine et de la forêt dans l’argument de la commande Install-ADDSForest, comme suit :
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force –NoDnsOnNetworkDans « Créer des utilisateurs et des groupes », la commande finale (New-ADGroup -name 'CONTOSO$$$') n’est pas obligatoire lorsque les contrôleurs de domaine CORP et PRIV sont Windows Server 2016 niveau fonctionnel du domaine.
Les modifications décrites dans « Configurer l’audit » (élément n° 8) et « Configurer les paramètres du Registre » (élément n° 10) sont recommandées, mais elles ne sont pas obligatoires si les contrôleurs de domaine CORP et PRIV ont le niveau fonctionnel de domaine Windows Server 2016.
Si vous choisissez d’utiliser Windows Server 2012 R2 comme système d’exploitation pour CORPDC, vous devez installer les correctifs logiciels 2919442 et 2919355, ainsi que la mise à jour 3155495 sur CORPDC.
Suivez les instructions de l’étape 2 - Préparer le contrôleur de domaine PRIV et vérifiez que si vous utilisiez une version précédente du contenu, effectuez ces ajustements :
Effectuez l’installation à l’aide du média Windows Server 2016. L’option d’installation est appelée Windows Server 2016 (Serveur avec Expérience utilisateur).
Dans les instructions « Ajouter des rôles » (élément n° 4), vous devez spécifier la valeur 7 comme numéro de version du domaine et de la forêt dans la quatrième ligne des commandes PowerShell pour permettre l’activation des fonctionnalités Windows Server AD décrites plus loin.
Install-ADDSForest -DomainMode 7 -ForestMode 7 -DomainName priv.contoso.local -DomainNetbiosName priv -Force -CreateDNSDelegation -DNSDelegationCredential $caQuand vous configurez l’audit et les droits de connexion, notez que le programme de gestion des stratégies de groupe se trouve dans le dossier Outils d’administration Windows.
La configuration des paramètres de Registre nécessaires pour la migration de l’historique DES SID (élément n°8) n’est plus nécessaire lorsque le domaine PRIV est Windows Server 2016 niveau fonctionnel du domaine.
Après la configuration de la délégation et avant le redémarrage du serveur, activez les fonctionnalités de Privileged Access Management dans Windows Server 2016 Active Directory en lançant une fenêtre PowerShell en tant qu’administrateur et en tapant les commandes suivantes.
$of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'" Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"Après la configuration de la délégation et avant le redémarrage du serveur, autorisez les administrateurs MIM et le compte de service MIM à créer et à mettre à jour les principaux fantômes.
a. Lancez une fenêtre PowerShell et tapez ADSIEdit.
b. Ouvrez le menu Action, puis cliquez sur « Connexion ». Sur le paramètre du point de connexion, remplacez le contexte d’appellation « Contexte d’attribution de noms par défaut » par « Configuration », puis cliquez sur OK.
c. Une fois la connexion établie, à gauche de la fenêtre sous « Modification ADSI », développez le nœud Configuration pour afficher « CN=Configuration,DC=priv,... ». Développez CN=Configuration, puis CN=Services.
d. Cliquez avec le bouton droit sur « CN=Shadow Principal Configuration », puis cliquez sur Propriétés. Quand la boîte de dialogue Propriétés s’affiche, accédez à l’onglet Sécurité.
e. Cliquez sur Ajouter. Spécifiez les comptes « MIMService » et les autres administrateurs MIM qui exécuteront par la suite New-PAMGroup pour créer d’autres groupes PAM. Pour chaque utilisateur, dans la liste des autorisations accordées, ajoutez « Écriture », « Créer tous les objets enfants, » et « Supprimer tous les objets enfants ». Ajoutez les autorisations.
f. Accédez aux paramètres de sécurité avancés. Sur la ligne qui autorise l’accès à MIMService, cliquez sur Modifier. Remplacez le paramètre « S’applique à » par « cet objet et tous ceux descendants ». Mettez à jour ce paramètre d’autorisation et fermez la boîte de dialogue de sécurité.
g. Fermez Modification ADSI.
Après la configuration de la délégation et avant le redémarrage du serveur, autorisez les administrateurs MIM à créer et à mettre à jour la stratégie d’authentification.
a. Lancez une invite de commandes à privilèges élevés et tapez les commandes suivantes, en remplaçant « mimadmin » par le nom de votre compte d’administrateur MIM dans chacune des quatre lignes :
dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
Suivez les instructions de l’étape 3 - Préparer un serveur PAM.
Notez que lors de l’installation sur Windows Server 2016, le rôle « ApplicationServer » n’est plus disponible.
Si vous installez MIM sur Windows Server 2016, il n’est pas possible d’installer SharePoint 2013. Si vous souhaitez utiliser le portail MIM, vous devez utiliser une version ultérieure de SharePoint.
Suivez les instructions de l’Étape 4 : installer les composants MIM sur le serveur PAM et la station de travail, à l’exception des ajustements suivants.
L’utilisateur qui installe les composants MIM Service et PAM doit avoir accès en écriture au domaine PRIV dans AD, car l’installation de MIM crée une unité d’organisation AD « Objets PAM ».
Si SharePoint n’est pas installé, n’installez pas le portail MIM.
Suivez les instructions de l’Étape 5 : établir l’approbation, à l’exception des ajustements suivants :
- Lorsque vous établissez l’approbation unidirectionnelle, exécutez uniquement les deux premières commandes PowerShell (get-credential et New-PAMTrust). Vous n’exécutez pas la commande New-PAMDomainConfiguration. Au lieu de cela, après avoir établi l’approbation, connectez-vous à PRIVDC en tant que PRIV\Administrator, lancez PowerShell et tapez les commandes suivantes :
netdom trust contoso.local /domain:priv.contoso.local /enablesidhistory:yes /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /quarantine:no /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /enablepimtrust:yes /usero:contoso\administrator /passwordo:Pass@word1
- Lorsque vous établissez l’approbation unidirectionnelle, exécutez uniquement les deux premières commandes PowerShell (get-credential et New-PAMTrust). Vous n’exécutez pas la commande New-PAMDomainConfiguration. Au lieu de cela, après avoir établi l’approbation, connectez-vous à PRIVDC en tant que PRIV\Administrator, lancez PowerShell et tapez les commandes suivantes :
L’élément 5 (vérification de l’approbation) n’est plus nécessaire lorsque les domaines CORP et PRIV se trouvent au niveau fonctionnel de Windows Server 2016 domaine.