手順 8. PAM 展開の検証
展開パッケージには検証スクリプトが付属していて、PAM シナリオを実行して PAM 展開が想定どおりに動作していることを検証できます。 展開検証を使用するには、PamValidation/> という<PAMDeploymentConfig.xml セクションを変更します。
注意
検証には、クライアント コンピューターのドメインが、PAM クライアント側コンポーネントがインストールされた CORP ドメインに参加している必要があります。 クライアントをインストールする方法に関するスクリプトの補遺を参照してください。
クライアント コンピューター名は、PAMDeploymentConfig.xmlの PAMValidationClient/ タグで<更新する必要があります。PAMValidation/> ノード内<の残りのデータは、既存のユーザー/グループと競合する場合にのみ編集する必要があります。この検証では作成が試行されるため>です。 検証を実行するには、次の手順に従います。
手順 1:
- CORP ドメイン管理者として CORPDC にログイン
- PowerShell を管理者として実行します
- cd $env:path: SYSTEMDRIVE\PAM
- Import-module .\PAMValidation.psm1
- Create-PAMValidationonCORPDCConfig
これによって、検証に必要なグループおよびユーザーが作成されます。
手順 2:
- MIMAdmin として PAM サーバーにログイン
- PowerShell を管理者として実行します
- cd $env:path: SYSTEMDRIVE\PAM
- import-module .\PAMValidation.psm1
- move-PAMVAlidationUsersToPAM
この手順では、PAM 環境にユーザーとグループを移行します。
手順 3:
- ローカル管理者として CORP クライアントにログイン
- PowerShell を管理者として実行します
- cd $env:path: SYSTEMDRIVE\PAM
- import-module .\PAMValidation.psm1
- Enable-PAMUsersCORPClientRemote
この手順では、CORPAdmin 資格情報を求められます。 指定すると、必要なユーザーが "Remote Desktop Users" および "Remote Management Users" グループに追加されます。
CORP クライアントで、次のコマンドを使用して、検証する PRIV ユーザーとして PowerShell を開きます。 Runas /u:<PRIV domain>\PRIV.pamRequestor powershell.exe
PowerShell ウィンドウで、次のように入力します。
- cd $env:path: SYSTEMDRIVE\PAM
- import-module .\PAMValidation.psm1
- test-PAMValidationScenarioNoApprovalRequest
これにより、要求の状態が表示されます。 最初、このユーザーにはリソースへのアクセス権がありません。 ユーザーがジャスト イン タイムでロールに追加されると、ユーザーにアクセス権が付与されます。 要求が期限切れになると、再度ユーザーはアクセス権を失います。 スクリプトでは、既定値 (11 分) を使用して要求を期限切れにします。