2. lépés: A PRIV tartományvezérlő előkészítése

« 1. lépés3. lépés »

Ebben a lépésben létrehoz egy új tartományt, amely biztosítja a megerősített környezetet a rendszergazdai hitelesítéshez. Ehhez az erdőhöz legalább egy tartományvezérlőre, tag-munkaállomásra és legalább egy tagkiszolgálóra lesz szükség. A tagkiszolgálót a következő lépésben fogja konfigurálni.

Új Privileged Access Management-tartományvezérlő létrehozása

Ebben a szakaszban beállít egy virtuális gépet, amely egy új erdő tartományvezérlőjeként működik.

Windows Server 2016 vagy újabb telepítése

Egy másik új virtuális gépen, amelyen nincs telepítve szoftver, telepítse Windows Server 2016 vagy újabb verziót, hogy a számítógép "PRIVDC" legyen.

1. Válassza a Windows Server egyéni (nem frissítő) telepítését. Telepítéskor adja meg a Windows Server 2016 (kiszolgáló asztali felülettel); ne válassza azAdatközpont vagy a Server Core lehetőséget.

2. Olvassa el és fogadja el a licencfeltételeket.

3. Mivel a lemez üres lesz, válassza az Egyéni: Csak a Windows telepítése lehetőséget, és használja az nem inicializált lemezterületet.

4. A megfelelő verziójú operációs rendszer telepítése után jelentkezzen be az új rendszergazdaként az új számítógépre. A Vezérlőpult használatával állítsa a számítógép nevét PRIVDC értékre. A hálózati beállításokban adjon meg neki egy statikus IP-címet a virtuális hálózaton, és konfigurálja a DNS-kiszolgálót úgy, hogy az az előző lépésben telepített tartományvezérlőhöz legyen. Újra kell indítania a kiszolgálót.

5. A kiszolgáló újraindítása után jelentkezzen be rendszergazdaként. A Vezérlőpulton állítsa be a számítógépet a frissítések keresésére, és telepítse a szükséges frissítéseket. A frissítések telepítéséhez szükség lehet a kiszolgáló újraindítására.

Szerepkörök hozzáadása

Vegye fel az Active Directory tartományi szolgáltatásokat (AD DS) és a DNS-kiszolgálói szerepkört.

1. Indítsa el a PowerShellt rendszergazdaként.

2. A Windows Server Active Directory telepítésének előkészítéséhez írja be a következő parancsokat.

   import-module ServerManager
   
   Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
   

A beállításjegyzék beállításainak megadása a SID-előzmények áttelepítéséhez

Indítsa el a PowerShellt, és írja be a következő parancsot, amellyel beállíthatja, hogy a forrástartomány engedélyezze a távoli eljáráshívás (RPC) hozzáférését a biztonsági fiókkezelő (SAM) adatbázisához.

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Új Privileged Access Management erdő létrehozása

Ezután léptesse elő a kiszolgálót egy új erdő tartományvezérlőjévé.

Ebben az útmutatóban a priv.contoso.local nevet használjuk az új erdő tartományneveként. Az erdő neve nem kritikus, és nem kell alárendeltnek lennie egy meglévő erdőnévnek a szervezetben. Az új erdő tartománynevének és NetBIOS-nevének azonban egyedinek kell lennie, és különböznie kell a szervezetben található más tartományok nevétől.

Tartomány és erdő létrehozása

1. Az új tartomány létrehozásához írja be a következő parancsokat a PowerShell ablakban. Ezek a parancsok dns-delegálást is létrehoznak egy felsőbb szintű tartományban (contoso.local), amelyet egy előző lépésben hoztak létre. Ha azt tervezi, hogy később konfigurálja a DNS-t, akkor ne adja meg a következő paramétereket: CreateDNSDelegation -DNSDelegationCredential $ca.

   $ca= get-credential
   Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca
   

2. Amikor az előugró ablak úgy tűnik, hogy konfigurálja a DNS-delegálást, adja meg a CORP erdő rendszergazdájának hitelesítő adatait, amely ebben az útmutatóban a CONTOSO\Administrator felhasználónév és a megfelelő jelszó volt az 1. lépésben.

3. A PowerShell ablakában megjelenik egy figyelmeztetés a csökkentett mód rendszergazdai jelszavának használatára vonatkozóan. Adjon meg egy új jelszót kétszer. A DNS-delegálással és a titkosítási beállításokkal kapcsolatos figyelmeztető üzenet jelenik meg. Ez nem rendellenes.

Az erdő létrehozásának befejezése után a kiszolgáló automatikusan újraindul.

Felhasználói és szolgáltatásfiókok létrehozása

Hozzon létre felhasználói és szolgáltatásfiókokat a MIM szolgáltatás és a portál beállításához. Ezek a fiókok a priv.contoso.local tartomány Felhasználók tárolójába kerülnek.

1. A kiszolgáló újraindítása után jelentkezzen be a PRIVDC-be tartományi rendszergazdaként (PRIV\Rendszergazda).

2. Indítsa el a PowerShellt, és írja be következő parancsokat. A „Pass@word1” jelszó csak példa, más jelszót kell használnia a fiókokhoz.

   import-module activedirectory
   
   $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   New-ADUser –SamAccountName MIMMA –name MIMMA
   
   Set-ADAccountPassword –identity MIMMA –NewPassword $sp
   
   Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor
   
   Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp
   
   Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent
   
   Set-ADAccountPassword –identity MIMComponent –NewPassword $sp
   
   Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMSync –name MIMSync
   
   Set-ADAccountPassword –identity MIMSync –NewPassword $sp
   
   Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMService –name MIMService
   
   Set-ADAccountPassword –identity MIMService –NewPassword $sp
   
   Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName SharePoint –name SharePoint
   
   Set-ADAccountPassword –identity SharePoint –NewPassword $sp
   
   Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName SqlServer –name SqlServer
   
   Set-ADAccountPassword –identity SqlServer –NewPassword $sp
   
   Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
   
   Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
   
   Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
   
   New-ADUser -SamAccountName MIMAdmin -name MIMAdmin
   
   Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp
   
   Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1
   
   Add-ADGroupMember "Domain Admins" SharePoint
   
   Add-ADGroupMember "Domain Admins" MIMService
   

Naplózási és a bejelentkezési jogok konfigurálása

Be kell állítania a naplózást ahhoz, hogy létre lehessen hozni a PAM konfigurációját az erdőkre vonatkozóan.

1. Győződjön meg arról, hogy tartományi rendszergazdaként van bejelentkezve (PRIV\Rendszergazda).

2. Lépjen aWindows felügyeleti eszközök>indítása>Csoportházirend Felügyelet elemre.

3. Lépjen az Erdő: priv.contoso.local>Domains>priv.contoso.local>tartományvezérlők>alapértelmezett tartományvezérlők házirendjéhez. Megjelenik egy figyelmeztető üzenet.

4. Kattintson a jobb gombbal az Alapértelmezett tartományvezérlői házirend elemre, majd válassza a Szerkesztés lehetőséget.

5. A Csoportházirend Felügyeleti szerkesztő konzolfán keresse meg a Számítógép konfigurációs szabályzatai>>Windows-beállítások>Biztonsági beállítások>Helyi házirendek>naplózási szabályzata lehetőséget.

6. A Részletek ablaktáblán kattintson a jobb gombbal a Fiókkezelés naplózása elemre, és válassza a Tulajdonságok parancsot. Kattintson A következő házirend-beállítások megadása elemre, jelölje be a Siker jelölőnégyzetet, jelölje be a Hiba jelölőnégyzetet, és kattintson az Alkalmaz, majd az OK gombra.

7. A Részletek ablaktáblán kattintson a jobb gombbal a Címtárszolgáltatás-hozzáférés naplózása elemre, és válassza a Tulajdonságok parancsot. Kattintson A következő házirend-beállítások megadása elemre, jelölje be a Siker jelölőnégyzetet, jelölje be a Hiba jelölőnégyzetet, és kattintson az Alkalmaz, majd az OK gombra.

8. Lépjen a Számítógép-konfigurációs>házirendek>Windows-beállítások>Biztonsági beállítások>fiókszabályzatai>Kerberos-szabályzat területre.

9. A Részletek ablaktáblában kattintson a jobb gombbal a Felhasználói jegy maximális élettartama elemre, és válassza a Tulajdonságok parancsot. Kattintson A következő házirend-beállítások megadása elemre, az órák számát állítsa 1-re, és kattintson az Alkalmaz, majd az OK gombra. Vegye figyelembe, hogy az ablakban található egyéb beállítások is megváltoznak.

10. A Csoportházirend kezelése ablakban válassza az Alapértelmezett tartományházirend elemet, kattintson rá a jobb gombbal, és válassza a Szerkesztés parancsot.

11. Bontsa ki a Számítógép konfigurációs>házirendjei>Windows-beállítások>Biztonsági beállítások>Helyi házirendek elemet, és válassza a Felhasználói jogok hozzárendelése lehetőséget.

12. A Részletek ablaktáblában kattintson a jobb gombbal a Kötegelt munka bejelentkezésének megtagadása elemre, és válassza a Tulajdonságok parancsot.

13. Jelölje be a Szabályzatbeállítások megadása jelölőnégyzetet, kattintson a Felhasználó vagy csoport hozzáadása elemre, majd a Felhasználó és csoportnevek mezőbe írja be a priv\mimmonitor; priv\MIMService; priv\mimcomponent parancsot , és kattintson az OK gombra.

14. Kattintson az OK gombra az ablak bezárásához.

15. A Részletek ablaktáblában kattintson a jobb gombbal a Távoli asztali szolgáltatások használatával történő bejelentkezés tiltása elemre, és válassza a Tulajdonságok parancsot.

16. Kattintson a Szabályzatbeállítások megadása jelölőnégyzetre, kattintson a Felhasználó vagy csoport hozzáadása elemre, majd a Felhasználó és csoportnevek mezőbe írja be a priv\mimmonitor; priv\MIMService; priv\mimcomponent parancsot , és kattintson az OK gombra.

17. Kattintson az OK gombra az ablak bezárásához.

18. Zárja be a Csoportházirendkezelés-szerkesztő ablakát és a Csoportházirend kezelése ablakot.

19. Rendszergazdaként nyisson meg egy PowerShell-ablakot, és írja be a következő parancsot a tartományvezérlőnek a csoportházirend-beállításokkal történő frissítéséhez.

    gpupdate /force /target:computer
    

    Egy perc elteltével a "Számítógépházirend frissítése sikeresen befejeződött" üzenettel fejeződik be.

A DNS-névátirányítás konfigurálása a PRIVDC számítógépen

A PRIVDC számítógépen a PowerShell használatával konfigurálja a DNS-névátirányítást, hogy a PRIVDC tartomány felismerje a többi meglévő erdőt.

1. Indítsa el a PowerShellt.

2. Minden meglévő erdő tetején található tartományhoz írja be a következő parancsot. Ebben a parancsban adja meg a meglévő DNS-tartományt (például contoso.local) és a tartomány elsődleges DNS-kiszolgálóinak IP-címét.

   Ha az előző lépésben létrehozott egy contoso.local tartományt, amelynek IP-címe a 10.1.1.31 , adja meg a CORPDC-számítógép virtuális hálózati IP-címének 10.1.1.31-et .

   Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
   

Megjegyzés

A többi erdőnek is képesnek kell lennie arra, hogy a PRIV erdő DNS-kéréseit átirányítsa erre a tartományvezérlőre. Több meglévő Active Directory-erdő esetén mindegyik erdőbe fel kell vennie egy feltételes DNS-továbbítót is.

A Kerberos konfigurálása

1. A PowerShell használatával vegyen fel egyszerű szolgáltatásneveket (SPN), hogy a SharePoint, a PAM REST API és a MIM szolgáltatás használni tudja a Kerberos-hitelesítést.

   setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
   setspn -S http/pamsrv PRIV\SharePoint
   setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
   setspn -S FIMService/pamsrv PRIV\MIMService
   

Megjegyzés

A dokumentumban található következő lépések bemutatják, hogyan telepítheti a MIM 2016 kiszolgálói összetevőit egyetlen számítógépre. Ha a magas rendelkezésre állás érdekében további kiszolgáló hozzáadását tervezi, akkor a Kerberos további konfigurálására lesz szükség a FIM 2010: A Kerberos-hitelesítés beállítása című témakörben leírtak szerint.

Delegálás konfigurálása a MIM szolgáltatásfiókok hozzáférésének megadásához

Végezze el a következő lépéseket a PRIVDC számítógépen tartományi rendszergazdaként.

1. Jelenítse meg az Active Directory - felhasználók és számítógépek ablakot.

2. Kattintson a jobb gombbal a priv.contoso.local tartományra, és válassza a Vezérlés delegálása parancsot.

3. A Kijelölt felhasználók és csoportok lapon kattintson a Hozzáadás gombra.

4. A Felhasználók, számítógépek vagy csoportok kiválasztása ablakban írja be mimcomponent; mimmonitor; mimservice és kattintson a Nevek ellenőrzése gombra. A nevek aláhúzása után kattintson az OK , majd a Tovább gombra.

5. A gyakori feladatok listáján jelölje ki a Felhasználói fiókok létrehozása, törlése és kezelése és az Egy csoport tagságának módosítása elemet, és kattintson a Tovább, majd a Befejezés gombra.

6. Kattintson ismét a jobb gombbal a priv.contoso.local tartományra, és válassza a Vezérlés delegálása parancsot.

7. A Kijelölt felhasználók és csoportok lapon kattintson a Hozzáadás gombra.

8. A Felhasználók, számítógépek vagy csoportok kiválasztása ablakban adja meg a MIMAdmin nevet, és kattintson a Névellenőrzés gombra. A nevek aláhúzása után kattintson az OK , majd a Tovább gombra.

9. Válassza az Egyéni feladat lehetőséget, és alkalmazza az Ez a mappa elemre az Általános engedélyek beállítás megadásával.

10. Az engedélyek listájában válassza ki a következő engedélyeket:

    • Olvasás
    • Írás
    • Az összes gyermekobjektum létrehozása
    • Az összes gyermekobjektum törlése
    • Az összes tulajdonság olvasása
    • Az összes tulajdonság írása
    • SID-előzmények áttelepítése

11. Kattintson a Tovább, majd a Befejezés gombra.

12. Kattintson ismét a jobb gombbal a priv.contoso.local tartományra, és válassza a Vezérlés delegálása parancsot.

13. A Kijelölt felhasználók és csoportok lapon kattintson a Hozzáadás gombra.

14. A Felhasználók, számítógépek vagy csoportok kiválasztása ablakban adja meg a MIMAdmin nevet, majd kattintson a Névellenőrzés gombra. Miután a nevek alatt megjelent az aláhúzás, kattintson az OK, majd a Tovább gombra.

15. Válassza az Egyéni feladat lehetőséget, alkalmazza az Ez a mappa elemre, majd kattintson a Csak felhasználói objektumok elemre.

16. Az engedélyek listájában válassza a Jelszó módosítása és a Jelszó alaphelyzetbe állítása elemet. Kattintson a Tovább, majd a Befejezés gombra.

17. Zárja be az Active Directory – felhasználók és számítógépek beépülő modult.

18. Nyisson meg egy parancssort.

19. Ellenőrizze az Admin SD Holder objektum hozzáférés-vezérlési listáját a PRIV tartományokban. Ha például a tartomány "priv.contoso.local" volt, írja be a következő parancsot:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"
    

20. Szükség szerint frissítse a hozzáférés-vezérlési listát annak biztosítása érdekében, hogy a MIM szolgáltatás és a MIM PAM összetevő szolgáltatás frissíthesse az ezen ACL által védett csoportok tagságát. Írja be a következő parancsot:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
    

PAM konfigurálása Windows Server 2016

Ezután engedélyezze a MIM-rendszergazdáknak és a MIM-szolgáltatásfióknak az árnyéknevek létrehozását és frissítését.

1. Engedélyezze a privilegizált hozzáférés-kezelési funkciókat Windows Server 2016 Az Active Directory jelen van és engedélyezve van a PRIV erdőben. Nyisson meg egy PowerShell-ablakot rendszergazdaként, és írja be az alábbi parancsokat.

   $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
   Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"
   

2. Nyisson meg egy PowerShell-ablakot, és írja be az ADSIEdit kifejezést.

3. Kattintson a Műveletek menü „Csatlakozás” elemére. A Kapcsolódási pont beállításnál módosítsa a névhasználati környezetet az „Alapértelmezett névhasználati környezet” beállításról a „Konfiguráció” értékre, majd kattintson az OK gombra.

4. A csatlakozás után az ablak bal oldalán, az „ADSI Edit” felirat alatt bontsa ki a Konfiguráció csomópontot, hogy láthatóvá váljon a „CN=Configuration,DC=priv,....” csomópont. Bontsa ki a CN=Configuration csomópontot, majd a CN=Services csomópontot.

5. Kattintson a jobb gombbal „CN=Shadow Principal Configuration” csomópontra, majd a Tulajdonságok parancsra. Amikor megjelenik a tulajdonságok párbeszédpanelje, váltson a Biztonság lapra.

6. Kattintson az Add (Hozzáadás) parancsra. Adja meg a „MIMService” fiókokat, valamint minden olyan további rendszergazdát, akik később használni fogják a New-PAMGroup parancsot további PAM-csoportok létrehozására. Mindegyik felhasználónál vegye fel a megengedettek listájába az „Írás”, „Az összes gyermekobjektum létrehozása” és „Az összes gyermekobjektum törlése” engedélyt. Vegye fel az engedélyeket.

7. Váltson a speciális biztonsági beállításokra. A MIMService-hozzáférést engedélyező sorban kattintson a Szerkesztés gombra. Módosítsa az „Érvényes erre” beállítást az „Ez az objektum és a gyermekobjektumok” értékre. Frissítse az engedély beállítását, és zárja be a Biztonság párbeszédpanelt.

8. Zárja be az ADSI Edit eszközt.

9. Ezután engedélyezze a MIM-rendszergazdáknak a hitelesítési szabályzat létrehozását és frissítését. Nyisson meg egy rendszergazda jogú parancssort, és írja be a következő parancsokat (mind a négy sorban cserélje le a „mimadmin” elemet saját MIM-rendszergazdafiókjának nevére):

   dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s
   
   dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy
   
   dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s
   
   dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
   

10. Indítsa újra a PRIVDC kiszolgálót, hogy a változtatások érvénybe lépjenek.

PRIV munkaállomás előkészítése

A munkaállomás előkészítéséhez kövesse ezeket az utasításokat. Ez a munkaállomás a PRIV-tartományhoz csatlakozik a PRIV-erőforrások (például MIM) karbantartásához.

Windows 10 Enterprise telepítése

Egy másik új virtuális gépen, amelyen nincs telepítve szoftver, telepítse a Windows 10 Enterprise, hogy a számítógép "PRIVWKSTN" legyen.

1. A telepítéshez használja a gyorsbeállításokat.

2. Vegye figyelembe, hogy előfordulhat, hogy a telepítés nem fog tudni csatlakozni az internethez. Kattintson a Helyi fiók létrehozása elemre. Adjon meg más felhasználónevet, ne használja a „Rendszergazda” vagy az „Ilona” nevet.

3. A Vezérlőpulton adjon statikus IP-címet a számítógépnek a virtuális hálózatban, és az adapter elsődleges DNS-kiszolgálójának állítsa be a PRIVDC kiszolgáló DNS-kiszolgálóját.

4. A Vezérlőpulton csatlakoztassa a PRIVWKSTN számítógépet a priv.contoso.local tartományhoz. Ehhez a lépéshez meg kell adnia a PRIV tartományi rendszergazda hitelesítő adatait. Amikor ezzel elkészült, indítsa újra a PRIVWKSTN számítógépet.

5. Telepítse a Visual C++ 2013 terjeszthető csomagokat a 64 bites Windows rendszerhez.

A további részleteket az emelt szintű hozzáféréssel rendelkező munkaállomások biztonságossá tételét ismertető cikk tartalmazza.

A következő lépésben előkészít egy PAM-kiszolgálót.

« 1. lépés3. lépés »