1. lépés – A gazdagép és a CORP tartomány előkészítése

2. lépés »

Ebben a lépésben előkészíti a PAM által felügyelt környezet üzemeltetését. Szükség esetén egy tartományvezérlőt és egy tag munkaállomást is létrehoz egy új tartományban és erdőben (a CORP-erdőben ). Az erdőhöz való hozzáférés a megerősített környezet által felügyelendő identitásokból, a következő lépésben létrehozott PRIV erdővel lesz elérhető. A CORP erdő egy kezelendő erőforrásokat tartalmazó, meglévő erdőt szimulál. Ez a dokumentum egy védendő erőforrást, egy fájlmegosztást használ példaként.

Ha már rendelkezik olyan Active Directory- (AD-) tartománnyal, amely Windows Server 2012 R2 vagy újabb rendszert futtató tartományvezérlővel rendelkezik, ahol Ön tartományi rendszergazda, használhatja inkább ezt a tartományt, és ugorjon a jelen cikk "Csoport létrehozása" szakaszára.

A CORP-tartományvezérlő előkészítése

Ez a szakasz ismerteti, hogyan állíthat be tartományvezérlőt egy CORP tartományhoz. A CORP tartományon belül a rendszergazda felhasználókat a megerősített környezet felügyeli. Ebben a példában contoso.local lesz a CORP tartomány DNS-neve.

A Windows Server telepítése

Telepítse Windows Server 2016 vagy újabb verzióját egy virtuális gépre a CORPDC nevű számítógép létrehozásához.

1. Válassza a Windows Server 2016 (Kiszolgáló asztali felülettel) lehetőséget.

2. Olvassa el és fogadja el a licencfeltételeket.

3. Mivel a lemez üres lesz, válassza az Egyéni: Csak a Windows telepítése lehetőséget, és használja a nem inicializált lemezterületet.

4. Rendszergazdaként jelentkezzen be az új számítógépre. Nyissa meg a Vezérlőpultot. Adja a számítógépnek a CORPDC nevet, és a virtuális hálózaton rendeljen hozzá egy statikus IP-címet. Indítsa újra a kiszolgálót.

5. A kiszolgáló újraindítása után jelentkezzen be rendszergazdaként. Nyissa meg a Vezérlőpultot. Állítsa be a számítógépet a frissítések keresésére, és telepítse a szükséges frissítéseket. Indítsa újra a kiszolgálót.

Szerepkörök beállítása tartományvezérlő létrehozásához

Ebben a szakaszban beállítja az új Windows Servert, hogy tartományvezérlővé váljon. A Active Directory tartományi szolgáltatások (AD DS), a DNS-kiszolgáló és a Fájlkiszolgáló (a Fájl- és tárolási szolgáltatások szakasz része) szerepköröket fogja hozzáadni, és előlépteti ezt a kiszolgálót egy új contoso.local erdő tartományvezérlőjéhez.

Megjegyzés

Ha már rendelkezik CORP-tartományként használandó tartománnyal, és ez a tartomány Windows Server 2012 R2 vagy újabb tartományt használ a tartomány működési szintjeként, ugorjon a További felhasználók és csoportok létrehozása bemutató célokra című szakaszra.

1. Rendszergazdaként bejelentkezve indítsa el a PowerShellt.

2. Írja be a következő parancsokat:

   import-module ServerManager
   
   Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools
   
   Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
   

   Ekkor megjelenik egy figyelmeztetés a csökkentett mód rendszergazdai jelszavának használatára vonatkozóan. A DNS-delegálással és a titkosítási beállításokkal kapcsolatosan figyelmeztető üzenetek fognak megjelenni. Ez nem rendellenes.

3. Az erdő létrehozása után jelentkezzen ki. A kiszolgáló automatikusan újraindul.

4. A kiszolgáló újraindítása után jelentkezzen be a CORPDC számítógépre tartományi rendszergazdaként. Ez általában a CONTOSO\Rendszergazda felhasználó, amely a Windows CORPDC-n való telepítésekor létrehozott jelszóval rendelkezik.

Frissítések telepítése (csak az R2 Windows Server 2012)

1. Ha a Windows Server 2012 R2-t használja a CORPDC tartományvezérlő operációs rendszereként, akkor telepítenie kell a 2919442-es és a 2919355-es gyorsjavítást, valamint a 3155495-es frissítést a CORPDC számítógépre.

Csoport létrehozása

Hozzon létre egy csoportot az Active Directory naplózási céljaira, feltéve, hogy még nincs ilyen csoport. A csoport nevének a NetBIOS-tartománynévnek kell lennie, melyet három dollárjel követ, például: CONTOSO$$$.

Minden tartományban jelentkezzen be egy tartományvezérlőre tartományi rendszergazdaként, és hajtsa végre az alábbi lépéseket:

1. Indítsa el a PowerShellt.

2. Írja be a következő parancsokat, de a „CONTOSO” szót cserélje ki a saját tartományának NetBIOS-nevével.

   import-module activedirectory
   
   New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
   

Bizonyos esetekben előfordulhat, hogy a csoport már létezik – ami normális, ha a tartományt az AD áttelepítési forgatókönyveihez is használják.

További felhasználók és csoportok létrehozása bemutatóhoz

Ha létrehozott egy új CORP tartományt, további felhasználókat és csoportokat kell létrehoznia a PAM-forgatókönyv bemutatásához. A bemutatási célokra használt felhasználók és csoportok nem lehetnek tartományi rendszergazdák, és nem szabályozhatják őket az AD adminSDHolder beállításai.

Megjegyzés

Ha már rendelkezik olyan tartománnyal, amelyet CORP-tartományként fog használni, és rendelkezik egy felhasználóval és egy bemutató célokra használható csoporttal, ugorjon a Naplózás konfigurálása szakaszra.

Létre fogjuk hozni a CorpAdmins nevű biztonsági csoportot és a Ilona nevű felhasználót. Tetszés szerint más neveket is választhat. Ha már rendelkezik egy meglévő felhasználóval, például intelligens kártyával, akkor nem kell új felhasználót létrehoznia.

1. Indítsa el a PowerShellt.

2. Írja be a következő parancsokat: A „Pass@word1” jelszót helyettesítse egy másik jelszósztringgel.

   import-module activedirectory
   
   New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins
   
   New-ADUser –SamAccountName Jen –name Jen
   
   Add-ADGroupMember –identity CorpAdmins –Members Jen
   
   $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   Set-ADAccountPassword –identity Jen –NewPassword $jp
   
   Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
   

Naplózás konfigurálása

A meglévő erdőkben be kell állítania a naplózást ahhoz, hogy létre lehessen hozni a PAM konfigurációját ezekre az erdőkre vonatkozóan.

Minden tartományban jelentkezzen be egy tartományvezérlőre tartományi rendszergazdaként, és hajtsa végre az alábbi lépéseket:

1. Nyissa meg aWindows felügyeleti eszközökindítása> lapot, és indítsa el a Csoportházirend Managementet.

2. Keresse meg az ehhez a tartományhoz tartozó tartományvezérlői szabályzatot. Ha létrehozott egy új tartományt a contoso.local számára, lépjen az Erdő: contoso.local> Domainscontoso.local>Domains> alapértelmezetttartományvezérlők>házirendje elemre. Ekkor megjelenik egy tájékoztató üzenet.

3. Kattintson a jobb gombbal az Alapértelmezett tartományvezérlői házirend elemre, majd válassza a Szerkesztés lehetőséget. Ekkor megjelenik egy új ablak.

4. A Csoportházirend Felügyeleti szerkesztő ablakÁnak Alapértelmezett tartományvezérlők házirendfája területén lépjen a Számítógép-konfigurációs>házirendek>Windows-beállítások>Biztonsági beállítások>Helyi házirendek>naplózási házirend területre.

5. A részletek ablaktábláján kattintson a jobb gombbal a Fiókkezelés naplózása elemre, és válassza a Tulajdonságok parancsot. Válassza ki A következő házirend-beállítások megadása lehetőséget, jelölje be a Sikeres és a Sikertelen beállítást, majd kattintson az Alkalmaz és az OK gombra.

6. A részletek ablaktáblájában kattintson a jobb gombbal a Címtárszolgáltatás-hozzáférés naplózása elemre, és válassza a Tulajdonságok parancsot. Válassza ki A következő házirend-beállítások megadása lehetőséget, jelölje be a Sikeres és a Sikertelen beállítást, majd kattintson az Alkalmaz és az OK gombra.

7. Zárja be a Csoportházirendkezelés-szerkesztő ablakát és a Csoportházirend kezelése ablakot.

8. A naplózási beállítások alkalmazásához nyisson meg egy PowerShell-ablakot, és írja be a következőt:

   gpupdate /force /target:computer
   

Néhány perc elteltével A számítógép-házirend frissítése sikeresen befejeződött üzenetnek kell megjelennie.

Beállításjegyzék-beállítások konfigurálása

Ebben a szakaszban az sID-előzmények áttelepítéséhez szükséges beállításjegyzék-beállításokat fogja konfigurálni, amelyeket a rendszer a Privileged Access Management-csoportok létrehozásához fog használni.

1. Indítsa el a PowerShellt.

2. Írja be a következő parancsokat, amelyekkel beállíthatja, hogy a forrástartomány engedélyezze a távoli eljáráshívás (RPC) hozzáférését a biztonsági fiókkezelő (SAM) adatbázisához.

   New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
   
   Restart-Computer
   

Ez újraindítja a tartományvezérlőt, a CORPDC gépet. Ezzel a beállításjegyzék-beállítással kapcsolatban bővebben lásd: How to troubleshoot inter-forest sIDHistory migration with ADMTv2 (A SID-előzmények erdők között, ADMTv2-vel végzett áttelepítésekor jelentkező hibák elhárítása).

CORP-erőforrás előkészítése bemutató célokra

A pam biztonsági csoportalapú hozzáférés-vezérlésének bemutatásához legalább egy erőforrásra szüksége lesz a tartományban. Ha még nem rendelkezik erőforrással, bemutató céljából használhat fájlmappát a CORP tartományhoz csatlakoztatott kiszolgálón. Ez a contoso.local tartományban létrehozott „Ilona” és „CorpAdmins” nevű AD-objektumot fogja használni.

1. Csatlakozzon a kiszolgálóhoz rendszergazdaként.

2. Hozzon létre egy új mappát a CorpFS névvel, és ossza meg a CorpAdmins csoporttal. Nyissa meg a PowerShellt rendszergazdaként, és írja be a következő parancsokat.

   mkdir c:\corpfs
   
   New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins
   
   $acl = Get-Acl c:\corpfs
   
   $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")
   
   $acl.SetAccessRule($car)
   
   Set-Acl c:\corpfs $acl
   

3. Mivel a PRIV-felhasználó egy másik erdőből csatlakozik ehhez a kiszolgálóhoz, előfordulhat, hogy módosítania kell a tűzfal konfigurációját ezen a kiszolgálón, hogy a felhasználó számítógépe csatlakozni tudjon ehhez a kiszolgálóhoz.

A következő lépésben előkészíti a PRIV tartományvezérlőt.

2. lépés »