1. lépés – A gazdagép és a CORP tartomány előkészítéseStep 1 - Prepare the host and the CORP domain

Ebben a lépésben előkészíti a gazdagépet a megerősített környezet számára.In this step, you will prepare to host the bastion environment. Ha szükséges, létrehoz egy tartományvezérlőt és egy tag munkaállomást egy új tartományban és erdőben (a CORP erdőben) olyan identitásokkal, amelyeket a megerősített környezet kezel.If necessary, you'll also create a domain controller and a member workstation in a new domain and forest (the CORP forest) with identities to be managed by the bastion environment. A CORP erdő egy kezelendő erőforrásokat tartalmazó, meglévő erdőt szimulál.This CORP forest simulates an existing forest that has resources to be managed. Ez a dokumentum egy védendő erőforrást, egy fájlmegosztást használ példaként.This document includes an example resource to be protected, a file share.

Ha már van olyan meglévő Active Directory- (AD-) tartománya, melynek tartományvezérlőjén a Windows Server 2012 R2 vagy későbbi rendszert fut, illetve ahol Ön a tartományi rendszergazda, azt a tartományt is használhatja.If you already have an existing Active Directory (AD) domain with a domain controller running Windows Server 2012 R2 or later, where you are a domain administrator, you can use that domain instead.

A CORP-tartományvezérlő előkészítésePrepare the CORP domain controller

Ez a szakasz ismerteti, hogyan állíthat be tartományvezérlőt egy CORP tartományhoz.This section describes how to set up a domain controller for a CORP domain. A CORP tartományon belül a rendszergazda felhasználókat a megerősített környezet felügyeli.In the CORP domain, the administrative users are managed by the bastion environment. Ebben a példában contoso.local lesz a CORP tartomány DNS-neve.The Domain Name System (DNS) name of the CORP domain used in this example is contoso.local.

A Windows Server telepítéseInstall Windows Server

Telepítse a Windows Server 2012 R2 vagy a Windows Server 2016 Technical Preview 4 vagy újabb verzióját egy virtuális gépre a CORPDC elnevezésű számítógép létrehozásához.Install Windows Server 2012 R2, or Windows Server 2016 Technical Preview 4 or later, on a virtual machine to create a computer called CORPDC.

  1. Válasszon a Windows Server 2012 R2 Standard (kiszolgáló grafikus felhasználói felülettel) x64 és a Windows Server 2016 Technical Preview (Server with Desktop Experience) (Kiszolgáló asztali felülettel) lehetőség közül.Choose Windows Server 2012 R2 Standard (Server with a GUI) x64 or Windows Server 2016 Technical Preview (Server with Desktop Experience).

  2. Olvassa el és fogadja el a licencfeltételeket.Review and accept the license terms.

  3. Mivel a lemez üres, válassza az Egyéni: A Windows telepítése a korábbi adatok megőrzése nélkül beállítást, és használja a nem inicializált lemezterületet.Since the disk will be empty, select Custom: Install Windows only and use the uninitialized disk space.

  4. Rendszergazdaként jelentkezzen be az új számítógépre.Sign in to that new computer as its administrator. Nyissa meg a Vezérlőpultot.Navigate to the Control Panel. Adja a számítógépnek a CORPDC nevet, és a virtuális hálózaton rendeljen hozzá egy statikus IP-címet.Set the computer name to CORPDC, and give it a static IP address on the virtual network. Indítsa újra a kiszolgálót.Restart the server.

  5. A kiszolgáló újraindítása után jelentkezzen be rendszergazdaként.After the server has restarted, sign in as an administrator. Nyissa meg a Vezérlőpultot.Navigate to the Control Panel. Állítsa be a számítógépet a frissítések keresésére, és telepítse a szükséges frissítéseket.Configure the computer to check for updates, and install any updates needed. Indítsa újra a kiszolgálót.Restart the server.

Szerepkörök beállítása tartományvezérlő létrehozásáhozAdd roles to establish a domain controller

Ebben a szakaszban be fogja állítani az Active Directory tartományi szolgáltatások (AD DS), a DNS-kiszolgáló, illetve a (Fájl- és adattárolási szolgáltatások szerepkör részét képező) Fájlkiszolgáló szerepkört, majd ezt a kiszolgálót egy új, contoso.local nevű erdő tartományvezérlőjévé lépteti elő.In this section, you will add the Active Directory Domain Services (AD DS), DNS Server, and File Server (part of the File and Storage Services section) roles, and promote this server to a domain controller of a new forest contoso.local.

Megjegyzés

Ha már van olyan tartománya, amelyet CORP tartományként szeretne használni, és ez a tartomány a Windows Server 2012 R2 vagy későbbi verziót használja tartományvezérlőként, ugorjon a További felhasználók és csoportok létrehozása bemutatóhoz című részhez.If you already have a domain to use as your CORP domain, and that domain uses Windows Server 2012 R2 or later as its domain controller, you can skip to Create additional users and groups for demonstration purposes.

  1. Rendszergazdaként bejelentkezve indítsa el a PowerShellt.While signed in as an administrator, launch PowerShell.

  2. Írja be a következő parancsokat:Type the following commands.

    import-module ServerManager
    
    Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools
    
    Install-ADDSForest –DomainMode Win2008R2 –ForestMode Win2008R2 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
    

    Ekkor megjelenik egy figyelmeztetés a csökkentett mód rendszergazdai jelszavának használatára vonatkozóan.This will prompt for a Safe Mode Administrator Password to use. A DNS-delegálással és a titkosítási beállításokkal kapcsolatosan figyelmeztető üzenetek fognak megjelenni.Note that warning messages for DNS delegation and cryptography settings will appear. Ez nem rendellenes.These are normal.

  3. Az erdő létrehozásának befejezése után jelentkezzen ki. A kiszolgáló automatikusan újraindul.After the forest creation is complete, sign out. The server will restart automatically.

  4. A kiszolgáló újraindítása után jelentkezzen be a CORPDC számítógépre tartományi rendszergazdaként.After the server restarts, sign in to CORPDC as an administrator of the domain. Ez általában a CONTOSO\Rendszergazda nevű felhasználó, aki ismeri a Windowsnak a CORPDC számítógépre történő telepítésekor megadott jelszót.This is typically the user CONTOSO\Administrator, which will have the password that was created when you installed Windows on CORPDC.

Csoport létrehozásaCreate a group

Hozzon létre egy csoportot az Active Directory naplózási céljaira, feltéve, hogy még nincs ilyen csoport.Create a group for auditing purposes by Active Directory, if the group does not already exist. A csoport nevének a NetBIOS-tartománynévnek kell lennie, melyet három dollárjel követ, például: CONTOSO$$$.The name of the group must be the NetBIOS domain name followed by three dollar signs, for example CONTOSO$$$.

Minden tartományban jelentkezzen be egy tartományvezérlőre tartományi rendszergazdaként, és hajtsa végre az alábbi lépéseket:For each domain, sign in to a domain controller as a domain administrator, and perform the following steps:

  1. Indítsa el a PowerShellt.Launch PowerShell.

  2. Írja be a következő parancsokat, de a „CONTOSO” szót cserélje ki a saját tartományának NetBIOS-nevével.Type the following commands, but replace "CONTOSO" with the NetBIOS name of your domain.

    import-module activedirectory
    
    New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
    

Bizonyos esetekben előfordulhat, hogy a csoport már létezik – ami normális, ha a tartományt az AD áttelepítési forgatókönyveihez is használják.In some cases the group may already exist - this is normal if the domain was also used in AD migration scenarios.

További felhasználók és csoportok létrehozása bemutatóhozCreate additional users and groups for demonstration purposes

Ha létrehozott egy új CORP tartományt, további felhasználókat és csoportokat kell létrehoznia a PAM-forgatókönyv bemutatásához.If you created a new CORP domain, then you should create additional users and groups for demonstrating the PAM scenario. A bemutatási célokra használt felhasználók és csoportok nem lehetnek tartományi rendszergazdák, és nem szabályozhatják őket az AD adminSDHolder beállításai.The user and group for demonstration purposes should not be domain administrators or controlled by the adminSDHolder settings in AD.

Megjegyzés

Ha már van olyan tartománya, amelyet CORP tartományként kíván használni, és abban található olyan felhasználó vagy csoport, amelyet bemutatási célokra használhat, ugorjon a Naplózás konfigurálása című részhez.If you already have a domain you will be using as the CORP domain, and it has a user and a group that you can use for demonstration purposes, then you can skip to the section Configure auditing.

Létre fogjuk hozni a CorpAdmins nevű biztonsági csoportot és a Ilona nevű felhasználót.We're going to create a security group named CorpAdmins and a user named Jen. Tetszés szerint más neveket is választhat.You can use different names if you wish.

  1. Indítsa el a PowerShellt.Launch PowerShell.

  2. Írja be a következő parancsokat:Type the following commands. Helyettesítse a „Pass@word1” jelszót egy másik jelszósztringgel.Replace the password 'Pass@word1' with a different password string.

    import-module activedirectory
    
    New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins
    
    New-ADUser –SamAccountName Jen –name Jen
    
    Add-ADGroupMember –identity CorpAdmins –Members Jen
    
    $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    
    Set-ADAccountPassword –identity Jen –NewPassword $jp
    
    Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
    

Naplózás konfigurálásaConfigure auditing

A meglévő erdőkben be kell állítania a naplózást ahhoz, hogy létre lehessen hozni a PAM konfigurációját ezekre az erdőkre vonatkozóan.You need to enable auditing in existing forests in order to establish the PAM configuration on those forests.

Minden tartományban jelentkezzen be egy tartományvezérlőre tartományi rendszergazdaként, és hajtsa végre az alábbi lépéseket:For each domain, sign in to a domain controller as a domain administrator, and perform the following steps:

  1. Nyissa meg Start > Felügyeleti eszközök (vagy Windows Server 2016 esetén a Windows felügyeleti eszközök) lehetőséget, és indítsa el Csoportházirend kezelése konzolt.Go to Start > Administrative Tools (or, on Windows Server 2016, Windows Administrative Tools), and launch Group Policy Management.

  2. Keresse meg az ehhez a tartományhoz tartozó tartományvezérlői szabályzatot.Navigate to the domain controllers policy for this domain. Ha létrehozott egy új tartományt a contoso.local erdőben, lépjen az Erdő: contoso.local > Tartományok > contoso.local > Tartományvezérlők > Alapértelmezett tartományvezérlői házirend lehetőségre.If you created a new domain for contoso.local, navigate to Forest: contoso.local > Domains > contoso.local > Domain Controllers > Default Domain Controllers Policy. Ekkor megjelenik egy tájékoztató üzenet.An informational message appears.

  3. Kattintson a jobb gombbal az Alapértelmezett tartományvezérlői házirend elemre, majd válassza a Szerkesztés lehetőséget.Right-click on Default Domain Controllers Policy and select Edit. Ekkor megjelenik egy új ablak.A new window appears.

  4. A Csoportházirendkezelés-szerkesztő ablakában, az Alapértelmezett tartományvezérlői házirend konzolfáján keresse meg a Számítógép konfigurációja > Házirendek > A Windows beállításai > Biztonsági beállítások > Helyi házirend > Naplórend elemet.In the Group Policy Management Editor window, under the Default Domain Controllers Policy tree, navigate to Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy.

  5. A részletek ablaktábláján kattintson a jobb gombbal a Fiókkezelés naplózása elemre, és válassza a Tulajdonságok parancsot.In the details pane, right click on Audit account management and select Properties. Válassza ki A következő házirend-beállítások megadása lehetőséget, jelölje be a Sikeres és a Sikertelen beállítást, majd kattintson az Alkalmaz és az OK gombra.Select Define these policy settings, put a checkbox on Success, put a checkbox on Failure, click Apply and OK.

  6. A részletek ablaktáblájában kattintson a jobb gombbal a Címtárszolgáltatás-hozzáférés naplózása elemre, és válassza a Tulajdonságok parancsot.In the details pane, right click on Audit directory service access and select Properties. Válassza ki A következő házirend-beállítások megadása lehetőséget, jelölje be a Sikeres és a Sikertelen beállítást, majd kattintson az Alkalmaz és az OK gombra.Select Define these policy settings, put a checkbox on Success, put a checkbox on Failure, click Apply and OK.

  7. Zárja be a Csoportházirendkezelés-szerkesztő ablakát és a Csoportházirend kezelése ablakot.Close the Group Policy Management Editor window and the Group Policy Management window.

  8. A naplózási beállítások alkalmazásához nyisson meg egy PowerShell-ablakot, és írja be a következőt:Apply the audit settings by launching a PowerShell window and typing:

    gpupdate /force /target:computer
    

Néhány perc elteltével A számítógép-házirend frissítése sikeresen befejeződött üzenetnek kell megjelennie.The message Computer Policy update has completed successfully should appear after a few minutes.

Beállításjegyzék-beállítások konfigurálásaConfigure registry settings

Ebben a szakaszban konfigurálni fogja az SID-előzmények áttelepítéséhez szükséges beállításjegyzék beállításait. Ezekre a Privileged Access Management-csoportok létrehozásához lesz szükség.In this section you will configure the registry settings that are needed for sID History migration, which will be used for Privileged Access Management group creation.

  1. Indítsa el a PowerShellt.Launch PowerShell.

  2. Írja be a következő parancsokat, amelyekkel beállíthatja, hogy a forrástartomány engedélyezze a távoli eljáráshívás (RPC) hozzáférését a biztonsági fiókkezelő (SAM) adatbázisához.Type the following commands to configure the source domain to permit remote procedure call (RPC) access to the security accounts manager (SAM) database.

    New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
    
    Restart-Computer
    

Ez újraindítja a tartományvezérlőt, a CORPDC gépet.This will restart the domain controller, CORPDC. Ezzel a beállításjegyzék-beállítással kapcsolatban bővebben lásd: How to troubleshoot inter-forest sIDHistory migration with ADMTv2 (A SID-előzmények erdők között, ADMTv2-vel végzett áttelepítésekor jelentkező hibák elhárítása).For further information on this registry setting, see How to troubleshoot inter-forest sIDHistory migration with ADMTv2.

CORP-munkaállomás és -erőforrás előkészítésePrepare a CORP workstation and resource

Ha még nincs csatlakoztatva munkaállomás a tartományhoz, készítse elő a számítógépet az alábbi lépésekkel.If you do not already have a workstation computer joined to the domain, follow these instructions to prepare one.

Megjegyzés

Ha a tartományhoz már csatlakoztatott egy munkaállomást, ugorjon az Erőforrás létrehozása bemutató céljára című részhez.If you already have a workstation joined to the domain, skip to Create a resource for demonstration purposes.

A Windows 8.1 vagy a Windows 10 Enterprise telepítése virtuális gépkéntInstall Windows 8.1 or Windows 10 Enterprise as a VM

Egy új virtuális gépre, amelyre még nincs telepítve szoftver, telepítse a Windows 8.1 Enterprise vagy a Windows 10 Enterprise verziót. Ez lesz a CORPWKSTN számítógép.On another new virtual machine with no software installed, install Windows 8.1 Enterprise or Windows 10 Enterprise to make a computer CORPWKSTN.

  1. A telepítéshez használja a gyorsbeállításokat.Use Express settings during installation.

  2. Vegye figyelembe, hogy előfordulhat, hogy a telepítés nem fog tudni csatlakozni az internethez.Note that the installation may not be able to connect to the Internet. Válassza a Helyi fiók létrehozása lehetőséget.Select Create a local account. Adjon meg más felhasználónevet, ne használja a „Rendszergazda” vagy az „Ilona” nevet.Specify a different username; do not use “Administrator” or “Jen”.

  3. A Vezérlőpulton adjon statikus IP-címet a számítógépnek a virtuális hálózatban, és a hálózati kapcsolat elsődleges DNS-kiszolgálójának állítsa be a CORPDC kiszolgáló DNS-kiszolgálóját.Using the Control Panel, give this computer a static IP address on the virtual network, and set the interface’s preferred DNS server to be that of the CORPDC server.

  4. A Vezérlőpulton csatlakoztassa a CORPWKSTN számítógépet a contoso.local tartományhoz.Using the Control Panel, domain join the CORPWKSTN computer to the contoso.local domain. Meg kell adnia a Contoso tartomány rendszergazdai hitelesítő adatait.You will have to provide the Contoso domain administrator credentials. Amikor ezzel elkészült, indítsa újra a CORPWKSTN számítógépet.Then when this completes, restart the computer CORPWKSTN.

Erőforrás létrehozása bemutató céljáraCreate a resource for demonstration purposes

A PAM és a biztonságicsoport-alapú hozzáférés-vezérlés bemutatásához szüksége lesz egy erőforrásra.You will need a resource for demonstrating the security group-based access control with PAM. Ha még nincs ilyen erőforrása, bemutató céljából használhat fájlmappát is.If you do not already have a resource, you can use a file folder for the purposes of demonstration. Ez a contoso.local tartományban létrehozott „Ilona” és „CorpAdmins” nevű AD-objektumot fogja használni.This will make use of the "Jen" and "CorpAdmins" AD objects you created in the contoso.local domain.

  1. Csatlakozzon a CORPWKSTN munkaállomáshoz.Connect to the workstation CORPWKSTN. Kattintson a Felhasználóváltás ikonra, majd a Más felhasználó lehetőségre.Click the Switch user icon, then Other user. Győződjön meg róla, hogy a CONTOSO\Ilona felhasználó be tud jelentkezni a CORPWKSTN munkaállomásra.Make sure that the user CONTOSO\Jen can log into CORPWKSTN.

  2. Hozzon létre egy új mappát a CorpFS névvel, és ossza meg a CorpAdmins csoporttal.Create a new folder named CorpFS and share it with the CorpAdmins group.

  3. Nyissa meg a PowerShellt rendszergazdaként.Open PowerShell as an administrator.

  4. Írja be a következő parancsokat:Type the following commands.

    mkdir c:\corpfs
    
    New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins
    
    $acl = Get-Acl c:\corpfs
    
    $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")
    
    $acl.SetAccessRule($car)
    
    Set-Acl c:\corpfs $acl
    

A következő lépésben a PRIV tartományvezérlő előkészítésével foglalkozunk.In the next step, you will prepare the PRIV domain controller.