Déployer MIM PAM avec Windows Server 2016

ce scénario active MIM 2016 SP2 pour le scénario PAM à l’aide des fonctionnalités de Windows Server 2016 ou version ultérieure en tant que contrôleur de domaine pour la forêt « PRIV ».  Quand ce scénario est configuré, l’utilisateur a un ticket Kerberos limité à la période restante de ses activations de rôles.

Préparation

Au moins deux machines virtuelles sont nécessaires pour l’environnement lab :

  • l’ordinateur virtuel héberge le contrôleur de domaine PRIV, en cours d’exécution Windows Server 2016 ou version ultérieure

  • l’ordinateur virtuel héberge le Service MIM, en cours d’exécution Windows Server 2016 ou version ultérieure (recommandé) ou Windows Server 2012 R2

Notes

Si vous ne disposez pas d’un domaine « CORP » dans votre environnement lab, vous devez avoir un contrôleur de domaine supplémentaire pour ce domaine. Le contrôleur de domaine « CORP » peut exécuter Windows Server 2016 ou Windows Server 2012 R2.

Effectuez l’installation conformément au Guide de prise en main, à l’exception des ajustements ci-dessous :

  • Si vous suivez les instructions de l’Étape 1 : préparer le contrôleur de domaine CORP pour créer un domaine CORP, vous pouvez le configurer pour qu’il soit au niveau fonctionnel Windows Server 2016. Si vous choisissez cette option, effectuez les ajustements suivants :

    • Si vous utilisez un média Windows Server 2016, l’option d’installation est appelée Windows Server 2016 (Serveur avec Expérience utilisateur).

    • Vous pouvez spécifier le niveau fonctionnel Windows Server 2016 pour la forêt et le domaine CORP en indiquant la valeur 7 comme numéro de version du domaine et de la forêt dans l’argument de la commande Install-ADDSForest, comme suit :

      Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force –NoDnsOnNetwork
      
    • Dans « créer des utilisateurs et des groupes », la commande finale (New-Group-Name « CONTOSO $ $ $ »...) n’est pas requis lorsque les contrôleurs de domaine CORP et PRIV sont Windows Server 2016 niveau fonctionnel du domaine.

    • Les modifications décrites dans « Configurer l’audit » (élément n° 8) et « Configurer les paramètres du Registre » (élément n° 10) sont recommandées, mais elles ne sont pas obligatoires si les contrôleurs de domaine CORP et PRIV ont le niveau fonctionnel de domaine Windows Server 2016.

  • Si vous choisissez d’utiliser Windows Server 2012 R2 comme système d’exploitation pour CORPDC, vous devez installer les correctifs logiciels 2919442 et 2919355, ainsi que la mise à jour 3155495 sur CORPDC.

  • Suivez les instructions de l’Étape 2 : préparer le contrôleur de domaine PRIV, à l’exception des ajustements suivants :

    • Effectuez l’installation à l’aide du média Windows Server 2016. L’option d’installation est appelée Windows Server 2016 (Serveur avec Expérience utilisateur).

    • Dans les instructions « Ajouter des rôles » (élément n° 4), vous devez spécifier la valeur 7 comme numéro de version du domaine et de la forêt dans la quatrième ligne des commandes PowerShell pour permettre l’activation des fonctionnalités Windows Server AD décrites plus loin.

      Install-ADDSForest -DomainMode 7 -ForestMode 7 -DomainName priv.contoso.local  -DomainNetbiosName priv -Force -CreateDNSDelegation -DNSDelegationCredential $ca
      
    • Quand vous configurez l’audit et les droits de connexion, notez que le programme de gestion des stratégies de groupe se trouve dans le dossier Outils d’administration Windows.

    • La configuration des paramètres de Registre nécessaires à la migration de l’historique SID (élément n° 8) n’est pas obligatoire si le domaine PRIV a le niveau fonctionnel de domaine Windows Server 2016.

    • Après la configuration de la délégation et avant le redémarrage du serveur, activez les fonctionnalités de Privileged Access Management dans Windows Server 2016 Active Directory en lançant une fenêtre PowerShell en tant qu’administrateur et en tapant les commandes suivantes.

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
    Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"
    
    • Après la configuration de la délégation et avant le redémarrage du serveur, autorisez les administrateurs MIM et le compte de service MIM à créer et à mettre à jour les principaux fantômes.

      a. Lancez une fenêtre PowerShell et tapez adsiedit.

      b. Ouvrez le menu Action, puis cliquez sur « Connexion ». Sur le paramètre du point de connexion, remplacez le contexte d’appellation « Contexte d’attribution de noms par défaut » par « Configuration », puis cliquez sur OK.

      c. Une fois la connexion établie, à gauche de la fenêtre sous « Modification ADSI », développez le nœud Configuration pour afficher « CN=Configuration,DC=priv,... ». Développez CN=Configuration, puis CN=Services.

      d. Cliquez avec le bouton droit sur « CN=Shadow Principal Configuration », puis cliquez sur Propriétés. Quand la boîte de dialogue Propriétés s’affiche, accédez à l’onglet Sécurité.

      e. Cliquez sur Ajouter. Spécifiez les comptes « MIMService » et les autres administrateurs MIM qui exécuteront par la suite New-PAMGroup pour créer d’autres groupes PAM. Pour chaque utilisateur, dans la liste des autorisations accordées, ajoutez « Écriture », « Créer tous les objets enfants, » et « Supprimer tous les objets enfants ». Ajoutez les autorisations.

      f. Accédez aux paramètres de sécurité avancés. Sur la ligne qui autorise l’accès à MIMService, cliquez sur Modifier. Remplacez le paramètre « S’applique à » par « cet objet et tous ceux descendants ». Mettez à jour ce paramètre d’autorisation et fermez la boîte de dialogue de sécurité.

      g. Fermez Modification ADSI.

    • Après la configuration de la délégation et avant le redémarrage du serveur, autorisez les administrateurs MIM à créer et à mettre à jour la stratégie d’authentification.

      a. Lancez une invite de commandes à privilèges élevés et tapez les commandes suivantes, en remplaçant « mimadmin » par le nom de votre compte d’administrateur MIM dans chacune des quatre lignes :

      dsacls "CN=AuthN Policies,CN=AuthN Policy
      Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g
      mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s
      
      dsacls "CN=AuthN Policies,CN=AuthN Policy
      Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g
      mimadmin:CCDC;msDS-AuthNPolicy
      
      dsacls "CN=AuthN Silos,CN=AuthN Policy
      Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g
      mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s
      
      dsacls "CN=AuthN Silos,CN=AuthN Policy
      Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g
      mimadmin:CCDC;msDS-AuthNPolicySilo
      
  • Suivez les instructions de l’Étape 3 : préparer un serveur PAM, à l’exception des ajustements suivants.

    • Si vous effectuez l’installation sur Windows Server 2016, notez que le rôle « ApplicationServer » n’est pas disponible.

    • Si vous installez MIM sur Windows Server 2016, il n’est pas possible d’installer SharePoint 2013.

  • Suivez les instructions de l’Étape 4 : installer les composants MIM sur le serveur PAM et la station de travail, à l’exception des ajustements suivants.

    • L’utilisateur qui installe les composants MIM Service et PAM doit avoir accès en écriture au domaine PRIV dans AD, car l’installation de MIM crée une unité d’organisation AD « Objets PAM ».

    • Si SharePoint n’est pas installé, n’installez pas le portail MIM.

  • Suivez les instructions de l’Étape 5 : établir l’approbation, à l’exception des ajustements suivants :

    • Lorsque vous établissez une approbation à sens unique, effectuez uniquement les deux premières commandes PowerShell (PAMTrust et New-Credential), n’exécutez pas la commande New-PAMDomainConfiguration.

    • Après avoir établi l’approbation, connectez-vous à PRIVDC en tant que Priv\administrateur, lancez PowerShell et tapez les commandes suivantes :

      netdom trust contoso.local /domain:priv.contoso.local /enablesidhistory:yes
      /usero:contoso\administrator /passwordo:Pass@word1
      
      netdom trust contoso.local /domain:priv.contoso.local /quarantine:no
      /usero:contoso\administrator /passwordo:Pass@word1  
      
      netdom trust contoso.local /domain:priv.contoso.local /enablepimtrust:yes
      /usero:contoso\administrator /passwordo:Pass@word1
      
  • L’élément n° 5 (vérification de l’approbation) n’est pas obligatoire quand les domaines CORP et PRIV ont le niveau fonctionnel de domaine Windows Server 2016.

Autres informations