Étape 1 : Préparer l’ordinateur hôte et le domaine CORPStep 1 - Prepare the host and the CORP domain

Lors de cette étape, vous allez vous préparer à héberger l’environnement bastion.In this step, you will prepare to host the bastion environment. Si nécessaire, vous allez aussi créer un contrôleur de domaine et une station de travail membre dans un nouveau domaine et une nouvelle forêt (la forêt CORP) avec des identités à gérer par l’environnement bastion.If necessary, you'll also create a domain controller and a member workstation in a new domain and forest (the CORP forest) with identities to be managed by the bastion environment. Cette forêt CORP simule une forêt existante qui contient des ressources à gérer.This CORP forest simulates an existing forest that has resources to be managed. Ce document comprend un exemple de ressource à protéger, un partage de fichiers.This document includes an example resource to be protected, a file share.

Si vous avez déjà un domaine Active Directory (AD) existant avec un contrôleur de domaine exécutant Windows Server 2012 R2 ou version ultérieure, pour lequel vous êtes administrateur de domaine, vous pouvez utiliser ce domaine à la place.If you already have an existing Active Directory (AD) domain with a domain controller running Windows Server 2012 R2 or later, where you are a domain administrator, you can use that domain instead.

Préparer le contrôleur de domaine CORPPrepare the CORP domain controller

Cette section décrit comment configurer un contrôleur de domaine pour un domaine CORP.This section describes how to set up a domain controller for a CORP domain. Dans le domaine CORP, les utilisateurs administratifs sont gérés par l’environnement bastion.In the CORP domain, the administrative users are managed by the bastion environment. Le nom du système DNS (Domain Name System) du domaine CORP utilisé dans cet exemple est contoso.local.The Domain Name System (DNS) name of the CORP domain used in this example is contoso.local.

Installer Windows ServerInstall Windows Server

Installez Windows Server 2012 R2 ou une version ultérieure sur une machine virtuelle pour créer un ordinateur appelé CORPDC.Install Windows Server 2012 R2 or later on a virtual machine to create a computer called CORPDC.

  1. Choisissez Windows server 2012 R2 Standard (serveur avec une interface utilisateur graphique) x64 ou Windows Server 2016 (serveur avec expérience utilisateur).Choose Windows Server 2012 R2 Standard (Server with a GUI) x64 or Windows Server 2016 (Server with Desktop Experience).

  2. Lisez et acceptez les termes du contrat de licence.Review and accept the license terms.

  3. Comme le disque sera vide, sélectionnez Personnalisé : Installer uniquement Windows et utilisez l’espace disque non initialisé.Since the disk will be empty, select Custom: Install Windows only and use the uninitialized disk space.

  4. Connectez-vous à ce nouvel ordinateur comme administrateur.Sign in to that new computer as its administrator. Accédez au Panneau de configuration.Navigate to the Control Panel. Nommez l’ordinateur CORPDC et attribuez-lui une adresse IP statique sur le réseau virtuel.Set the computer name to CORPDC, and give it a static IP address on the virtual network. Redémarrez le serveur.Restart the server.

  5. Une fois que le serveur a redémarré, connectez-vous comme administrateur.After the server has restarted, sign in as an administrator. Accédez au Panneau de configuration.Navigate to the Control Panel. Configurez l’ordinateur pour rechercher les mises à jour, puis installez les mises à jour nécessaires.Configure the computer to check for updates, and install any updates needed. Redémarrez le serveur.Restart the server.

Ajouter des rôles pour établir un contrôleur de domaineAdd roles to establish a domain controller

Dans cette section, vous allez ajouter les rôles Services de domaine Active Directory (AD DS), Serveur DNS et Serveur de fichiers (partie de la section Services de fichiers et de stockage), puis promouvoir ce serveur en contrôleur de domaine d’une nouvelle forêt nommée contoso.local.In this section, you will add the Active Directory Domain Services (AD DS), DNS Server, and File Server (part of the File and Storage Services section) roles, and promote this server to a domain controller of a new forest contoso.local.

Notes

Si vous avez déjà un domaine à utiliser comme domaine CORP et que ce domaine utilise Windows Server 2012 R2 ou ultérieur comme contrôleur de domaine, vous pouvez passer directement à Créer des utilisateurs et des groupes supplémentaires à des fins de démonstration.If you already have a domain to use as your CORP domain, and that domain uses Windows Server 2012 R2 or later as its domain controller, you can skip to Create additional users and groups for demonstration purposes.

  1. Toujours en étant connecté comme administrateur, lancez PowerShell.While signed in as an administrator, launch PowerShell.

  2. Tapez les commandes suivantes.Type the following commands.

    import-module ServerManager
    
    Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools
    
    Install-ADDSForest –DomainMode Win2008R2 –ForestMode Win2008R2 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
    

    Le système vous invitera à fournir un mot de passe d'administrateur en mode sans échec.This will prompt for a Safe Mode Administrator Password to use. Notez que des messages d'avertissement relatifs aux paramètres de chiffrement et de délégation DNS s'afficheront.Note that warning messages for DNS delegation and cryptography settings will appear. C'est normal.These are normal.

  3. Une fois la forêt créée, déconnectez-vous. Le serveur redémarre automatiquement.After the forest creation is complete, sign out. The server will restart automatically.

  4. Une fois le serveur redémarré, connectez-vous à CORPDC comme administrateur du domaine.After the server restarts, sign in to CORPDC as an administrator of the domain. Il s’agit généralement de l’utilisateur CONTOSO\Administrateur, dont le mot de passe est celui créé quand vous avez installé Windows sur CORPDC.This is typically the user CONTOSO\Administrator, which will have the password that was created when you installed Windows on CORPDC.

Créer un groupeCreate a group

Créez un groupe à des fins d’audit par Active Directory, si le groupe n’existe pas.Create a group for auditing purposes by Active Directory, if the group does not already exist. Le nom du groupe doit être identique au nom de domaine NetBIOS, suivi de trois signes dollar, par exemple CONTOSO$$$ .The name of the group must be the NetBIOS domain name followed by three dollar signs, for example CONTOSO$$$.

Pour chaque domaine, connectez-vous à un contrôleur de domaine comme administrateur de domaine et procédez comme suit :For each domain, sign in to a domain controller as a domain administrator, and perform the following steps:

  1. Lancez PowerShell.Launch PowerShell.

  2. Tapez les commandes suivantes, mais remplacez « CONTOSO » par le nom NetBIOS de votre domaine.Type the following commands, but replace "CONTOSO" with the NetBIOS name of your domain.

    import-module activedirectory
    
    New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
    

Dans certains cas, le groupe existe déjà. C’est normal si le domaine était également utilisé dans des scénarios de migration Active Directory.In some cases the group may already exist - this is normal if the domain was also used in AD migration scenarios.

Créer des utilisateurs et des groupes supplémentaires à des fins de démonstrationCreate additional users and groups for demonstration purposes

Si vous avez créé un domaine CORP, vous devez créer des utilisateurs et groupes supplémentaires pour illustrer le scénario PAM.If you created a new CORP domain, then you should create additional users and groups for demonstrating the PAM scenario. Les utilisateurs et les groupes de démonstration ne doivent ni être administrateurs de domaine, ni être contrôlés par les paramètres adminSDHolder dans Active Directory.The user and group for demonstration purposes should not be domain administrators or controlled by the adminSDHolder settings in AD.

Notes

Si vous avez déjà un domaine que vous allez utiliser comme domaine CORP et que ce domaine a un utilisateur et un groupe que vous pouvez utiliser à des fins de démonstration, passez à la section Configurer l’audit.If you already have a domain you will be using as the CORP domain, and it has a user and a group that you can use for demonstration purposes, then you can skip to the section Configure auditing.

Nous allons créer un groupe de sécurité nommé CorpAdmins et un utilisateur nommé Jen.We're going to create a security group named CorpAdmins and a user named Jen. Vous pouvez utiliser des noms différents si vous le souhaitez.You can use different names if you wish.

  1. Lancez PowerShell.Launch PowerShell.

  2. Tapez les commandes suivantes.Type the following commands. Remplacez le mot de passe « Pass@word1 » par une chaîne de mot de passe différente.Replace the password 'Pass@word1' with a different password string.

    import-module activedirectory
    
    New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins
    
    New-ADUser –SamAccountName Jen –name Jen
    
    Add-ADGroupMember –identity CorpAdmins –Members Jen
    
    $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    
    Set-ADAccountPassword –identity Jen –NewPassword $jp
    
    Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
    

Configurer l’auditConfigure auditing

Vous devez activer l’audit dans les forêts existantes pour établir la configuration PAM sur ces forêts.You need to enable auditing in existing forests in order to establish the PAM configuration on those forests.

Pour chaque domaine, connectez-vous à un contrôleur de domaine comme administrateur de domaine et procédez comme suit :For each domain, sign in to a domain controller as a domain administrator, and perform the following steps:

  1. Accédez à Démarrer > Outils d’administration (ou, sur Windows Server 2016, Outils d’administration Windows), puis lancez Gestion des stratégies de groupe.Go to Start > Administrative Tools (or, on Windows Server 2016, Windows Administrative Tools), and launch Group Policy Management.

  2. Accédez à la stratégie des contrôleurs de domaine pour ce domaine.Navigate to the domain controllers policy for this domain. Si vous avez créé un domaine pour contoso.local, accédez à Forêt : contoso.local > Domaines > contoso.local > Contrôleurs de domaine > Stratégie des contrôleurs de domaine par défaut.If you created a new domain for contoso.local, navigate to Forest: contoso.local > Domains > contoso.local > Domain Controllers > Default Domain Controllers Policy. Un message d’information s’affiche.An informational message appears.

  3. Cliquez avec le bouton droit sur Stratégie des contrôleurs de domaine par défaut et sélectionnez Modifier.Right-click on Default Domain Controllers Policy and select Edit. Une nouvelle fenêtre s’affiche.A new window appears.

  4. Dans la fenêtre Éditeur de gestion des stratégies de groupe, sous l’arborescence Stratégie des contrôleurs de domaine par défaut, accédez à Configuration de l’ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d’audit.In the Group Policy Management Editor window, under the Default Domain Controllers Policy tree, navigate to Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy.

  5. Dans le volet d’informations, cliquez avec le bouton droit sur Auditer la gestion des comptes, puis sélectionnez Propriétés.In the details pane, right click on Audit account management and select Properties. Sélectionnez Définir ces paramètres de stratégie, cochez la case Réussite, cochez la case Échec, puis cliquez sur Appliquer et sur OK.Select Define these policy settings, put a checkbox on Success, put a checkbox on Failure, click Apply and OK.

  6. Dans le volet d’informations, cliquez avec le bouton droit sur Auditer l’accès au service d’annuaire, puis sélectionnez Propriétés.In the details pane, right click on Audit directory service access and select Properties. Sélectionnez Définir ces paramètres de stratégie, cochez la case Réussite, cochez la case Échec, puis cliquez sur Appliquer et sur OK.Select Define these policy settings, put a checkbox on Success, put a checkbox on Failure, click Apply and OK.

  7. Fermez les fenêtres Éditeur de gestion de stratégie de groupe et Gestion des stratégies de groupe.Close the Group Policy Management Editor window and the Group Policy Management window.

  8. Appliquez les paramètres d’audit en lançant une fenêtre PowerShell et en tapant ce qui suit :Apply the audit settings by launching a PowerShell window and typing:

    gpupdate /force /target:computer
    

Le message La mise à jour de la stratégie d’ordinateur s’est terminée sans erreur doit s’afficher après quelques minutes.The message Computer Policy update has completed successfully should appear after a few minutes.

Configurer les paramètres du RegistreConfigure registry settings

Dans cette section, vous allez configurer les paramètres de Registre nécessaires pour la migration de l’historique des SID, qui seront utilisés pour la création des groupes de gestion Privileged Access Management.In this section you will configure the registry settings that are needed for sID History migration, which will be used for Privileged Access Management group creation.

  1. Lancez PowerShell.Launch PowerShell.

  2. Tapez les commandes suivantes pour configurer le domaine source de sorte à autoriser l’accès par appel de procédure distante (RPC) à la base de données du Gestionnaire de comptes de sécurité (SAM).Type the following commands to configure the source domain to permit remote procedure call (RPC) access to the security accounts manager (SAM) database.

    New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
    
    Restart-Computer
    

Le contrôleur de domaine CORPDC redémarre.This will restart the domain controller, CORPDC. Pour plus d’informations sur ce paramètre de Registre, consultez Comment faire pour résoudre les problèmes de migration de sIDHistory inter-forêts avec ADMTv2.For further information on this registry setting, see How to troubleshoot inter-forest sIDHistory migration with ADMTv2.

Préparer une station de travail CORP et une ressourcePrepare a CORP workstation and resource

Si vous n’avez encore aucune station de travail jointe au domaine, suivez ces instructions pour en préparer une.If you do not already have a workstation computer joined to the domain, follow these instructions to prepare one.

Notes

Si vous avez déjà une station de travail jointe au domaine, passez à Créer une ressource à des fins de démonstration.If you already have a workstation joined to the domain, skip to Create a resource for demonstration purposes.

Installer Windows 8.1 ou Windows 10 Entreprise comme machine virtuelleInstall Windows 8.1 or Windows 10 Enterprise as a VM

Sur une autre nouvelle machine virtuelle sans logiciel, installez Windows 8.1 Entreprise ou Windows 10 Entreprise pour créer un ordinateur nommé CORPWKSTN.On another new virtual machine with no software installed, install Windows 8.1 Enterprise or Windows 10 Enterprise to make a computer CORPWKSTN.

  1. Utilisez les paramètres Express pendant l'installation.Use Express settings during installation.

  2. Notez que l'installation risque de ne pas pouvoir se connecter à Internet.Note that the installation may not be able to connect to the Internet. Sélectionnez Créer un compte local.Select Create a local account. Spécifiez un nom d'utilisateur différent. N'utilisez pas « Administrateur » ou « Jen ».Specify a different username; do not use “Administrator” or “Jen”.

  3. À l’aide du Panneau de configuration, attribuez à cet ordinateur une adresse IP statique sur le réseau virtuel et définissez le serveur CORPDC comme serveur DNS préféré de l’interface.Using the Control Panel, give this computer a static IP address on the virtual network, and set the interface’s preferred DNS server to be that of the CORPDC server.

  4. À l’aide du Panneau de configuration, joignez l’ordinateur CORPWKSTN au domaine contoso.local.Using the Control Panel, domain join the CORPWKSTN computer to the contoso.local domain. Vous devrez fournir les informations d’identification d’administrateur du domaine Contoso.You will have to provide the Contoso domain administrator credentials. Une fois cette opération terminée, redémarrez l’ordinateur CORPWKSTN.Then when this completes, restart the computer CORPWKSTN.

Créer une ressource à des fins de démonstrationCreate a resource for demonstration purposes

Vous aurez besoin d’une ressource pour illustrer le contrôle d’accès en fonction du groupe de sécurité avec PAM.You will need a resource for demonstrating the security group-based access control with PAM. Si vous n’avez pas encore de ressource, vous pouvez utiliser un dossier de fichiers à des fins de démonstration.If you do not already have a resource, you can use a file folder for the purposes of demonstration. Cette ressource utilisera les objets AD « Jen » et « CorpAdmins » que vous avez créés dans le domaine contoso.local.This will make use of the "Jen" and "CorpAdmins" AD objects you created in the contoso.local domain.

  1. Connectez-vous à la station de travail CORPWKSTN.Connect to the workstation CORPWKSTN. Cliquez sur l’icône Changer d’utilisateur, puis sur Autre utilisateur.Click the Switch user icon, then Other user. Vérifiez que l’utilisateur CONTOSO\Jen peut se connecter à CORPWKSTN.Make sure that the user CONTOSO\Jen can log into CORPWKSTN.

  2. Créez un dossier nommé CorpFS et partagez-le avec le groupe CorpAdmins.Create a new folder named CorpFS and share it with the CorpAdmins group.

  3. Ouvrez PowerShell comme administrateur.Open PowerShell as an administrator.

  4. Tapez les commandes suivantes.Type the following commands.

    mkdir c:\corpfs
    
    New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins
    
    $acl = Get-Acl c:\corpfs
    
    $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")
    
    $acl.SetAccessRule($car)
    
    Set-Acl c:\corpfs $acl
    

Lors de l’étape suivante, vous allez préparer le contrôleur de domaine PRIV.In the next step, you will prepare the PRIV domain controller.