1. lépés A PRIV-tartomány konfigurálása
A PRIV tartomány beállítása
Miután kicsomagolta a tömörített fájlt az $env:SYSTEMDRIVE\PAM mappába, a PAMDeploymentConfig.xml fájl szerkesztésével adja meg a PRIV-erdő adatait. Frissítse a DNSName-t, a NetbiosName-t, a tartományvezérlő nevét, az adatbázis-/naplóelérési utat & sysvol mappa elérési útját. Frissítse a Domain & ForestMode -t Windows Server 2016 (WinThreshold) értékre.
- Jelentkezzen be a PRIV tartomány tartományvezérlőjéhez rendszergazdaként
- A PowerShell futtatása rendszergazdaként
- cd $env:SYSTEMDRIVE\PAM
- import-module .\PAMDeployment.ps1
- select menu option 9 (PRIV Forest setup)
A befejezést követően a tartományvezérlő automatikusan újraindul. A címtárszolgáltatások helyreállító módjának (DSRM) rendszergazdai jelszava meg kell feleljen az alábbi követelményeknek:
- A jelszó minimális hossza 15 karakter
- A jelszó legalább egy kisbetűs karaktert tartalmaz
- A jelszó legalább egy NAGYBETŰS karaktert tartalmaz
- A jelszó legalább egy számjegyet vagy speciális karaktert tartalmaz
A PRIV tartomány konfigurálása
- Jelentkezzen be a PRIVDC-be rendszergazdaként
- A PowerShell futtatása rendszergazdaként
- cd $env:SYSTEMDRIVE\PAM
- .\PAMDeployment.ps1
- Az 1. menüelem kiválasztása (PRIV-erdő konfigurálása)
Az SQL, a SharePoint és a MIM kezeléséhez szükséges szolgáltatásfiókok automatikusan létrejönnek, ha még nincsenek jelen a tartományban. A szkript futása során a szolgáltatásfiókok létrehozásához meg kell adnia a szükséges jelszavakat.
Üzembe helyezéskor a PRIV tartomány működési szintjét Windows Server 2016 kell beállítani. A szkript kérni fogja a PAM által igényelt opcionális Active Directory "Privileged Access Management Feature" engedélyezését. A folytatáshoz hagyja jóvá az „Igen” lehetőséget. Ne telepítse a PAM-t a Windows Server 2016 alatti működési szintekhez, mivel újra kell futtatnia a PAMDeployment.ps1 és a PAM-erdő konfigurációját, miután a rendszergazda a működési szintet Windows Server 2016.
Megjegyzés
A PRIVOnly konfigurációkhoz nem szükséges a következő lépések
- Másolja az $env:SYSTEMDRIVE\PAM helyen létrehozott SIDs.txt fájlt az ugyanilyen mappába a CORPDC tartományvezérlőn.
- A CORPDC ezen SID-listájára lesz szüksége ahhoz, hogy a PRIV-felhasználók egy későbbi lépésben beállíthassák az engedélyeket a CORP felhasználói tulajdonságainak olvasásához.
- A szkript a futását befejezően arra kéri, hogy a módosítások hatályba léptetéséhez indítsa újra a gépet.