手順 1 - ホストと CORP ドメインの準備

この手順では、PAM によって管理される環境をホストする準備をします。 必要に応じて、新しいドメインとフォレスト ( CORP フォレスト) にドメイン コントローラーとメンバー ワークステーションも作成します。 そのフォレストへのアクセスは、次の手順で作成された PRIV フォレストを使用して、要塞環境によって管理される ID から行われます。 この CORP フォレストは、管理対象のリソースを持つ既存のフォレストをシミュレートします。 このドキュメントには、保護対象となるサンプルのリソース (ファイル共有) が含まれます。

既存の Active Directory (AD) ドメインと、ドメイン管理者である R2 以降Windows Server 2012実行されているドメイン コントローラーがある場合は、代わりにそのドメインを使用し、この記事の「グループを作成する」セクションに進んでください。

CORP ドメイン コントローラーを準備する

このセクションでは、CORP ドメインのドメイン コントローラーを設定する方法について説明します。 CORP ドメインでは、管理ユーザーは要塞環境によって管理されています。 この例で使用されている CORP ドメインのドメイン ネーム システム (DNS) 名は contoso.local です。

Windows Server のインストール

Windows Server 2016以降を仮想マシンにインストールして、CORPDC という名前のコンピューターを作成します。

  1. [Windows Server 2016 (デスクトップ エクスペリエンスを使用するサーバー)] を選択します

  2. ライセンス条項を確認して同意します。

  3. ディスクは空になるため、[カスタム: Windows のみをインストールする] を選択し、初期化されていないディスク領域を使用します。

  4. その新しいコンピューターに管理者としてサインインします。 [コントロール パネル] に移動します。 コンピューター名を CORPDC に設定し、仮想ネットワーク上の静的 IP アドレスを割り当てます。 サーバーを再起動します。

  5. サーバーが再起動したら、管理者としてサインインします。 [コントロール パネル] に移動します。 更新プログラムを確認し、必要な更新プログラムをインストールするようにコンピューターを構成します。 サーバーを再起動します。

ドメイン コントローラーを確立するためにロールを追加する

このセクションでは、新しい Windows Server をドメイン コントローラーに設定します。 Active Directory Domain Services (AD DS)、DNS サーバー、およびファイル サーバー ([ファイルと記憶域サービス] セクションの一部) の役割を追加し、このサーバーを新しいフォレスト contoso.local のドメイン コントローラーに昇格させます。

注意

CORP ドメインとして使用するドメインが既にあり、そのドメインがドメイン機能レベルとして Windows Server 2012 R2 以降を使用している場合は、「デモ目的で追加のユーザーとグループを作成する」に進むことができます。

  1. 管理者としてサインインした状態で、PowerShell を起動します。

  2. 次のコマンドを入力します。

    import-module ServerManager
    
    Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools
    
    Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
    

    セーフ モードの管理者パスワードを使用するように求められます。 DNS 委任や暗号化の設定に対する警告メッセージが表示されます。 これは正常です。

  3. フォレストの作成が完了したら、サインアウトします。サーバーが自動的に再起動します。

  4. サーバーが再起動したら、ドメインの管理者として CORPDC にサインインします。 これは通常、ユーザー CONTOSO\Administrator です。これは、CORPDC に Windows をインストールしたときに作成されたパスワードを持ちます。

更新プログラムのインストール (Windows Server 2012 R2 のみ)

  1. CORPDC のオペレーティング システムとして Windows Server 2012 R2 を使用する場合は、修正プログラム 2919442、2919355、および更新プログラム 3155495 を CORPDC にインストールする必要があります。

グループの作成

グループが存在しない場合は、Active Directory での監査用にグループを作成します。 グループの名前は、NetBIOS ドメイン名の後に 3 個のドル記号を付けたものにします (例: CONTOSO$$$)。

各ドメインについて、ドメイン コントローラーにドメイン管理者としてサインインし、次の手順を実行します。

  1. PowerShell を起動します。

  2. 次のコマンドを入力し、"CONTOSO" をドメインの NetBIOS 名に置き換えます。

    import-module activedirectory
    
    New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
    

場合によっては、グループが既に存在している可能性があります。ドメインが AD の移行シナリオでも使用されている場合に、これは一般的な現象です。

デモンストレーション用に追加のユーザーとグループを作成する

新しい CORP ドメインを作成した場合、PAM シナリオのデモンストレーション用に追加のユーザーとグループを作成する必要があります。 デモンストレーション用のユーザーやグループを、ドメイン管理者にすることも、AD の adminSDHolder 設定で制御することもできません。

注意

CORP ドメインとして使用するドメインが既にあり、デモ目的で使用できるユーザーとグループがある場合は、「 監査の構成」セクションに進むことができます。

CorpAdmins という名前のセキュリティ グループと Jen という名前のユーザーを作成します。 別の名前を使うこともできます。 スマートカードなど、既存のユーザーが既にある場合は、新しいユーザーを作成する必要はありません。

  1. PowerShell を起動します。

  2. 次のコマンドを入力します。 パスワード 'Pass@word1' を別のパスワード文字列に置き換えます。

    import-module activedirectory
    
    New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins
    
    New-ADUser –SamAccountName Jen –name Jen
    
    Add-ADGroupMember –identity CorpAdmins –Members Jen
    
    $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    
    Set-ADAccountPassword –identity Jen –NewPassword $jp
    
    Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
    

監査の構成

それらのフォレストで PAM 構成を確立するには、既存のフォレストでの監査を使用可能にする必要があります。

各ドメインについて、ドメイン コントローラーにドメイン管理者としてサインインし、次の手順を実行します。

  1. [Windows 管理ツール開始]> に移動し、グループ ポリシー管理を起動します。

  2. このドメインのドメイン コントローラー ポリシーに移動します。 contoso.local の新しいドメインを作成した場合は、フォレスト: contoso.localDomains>contoso.local>>Domain ControllersDefault Domain Controllers> Policy に移動します。 情報メッセージが表示されます。

  3. [既定のドメイン コントローラー ポリシー] を右クリックし、[編集] を選びます。 新しいウィンドウが開きます。

  4. [グループ ポリシー管理エディター] ウィンドウの [既定のドメイン コントローラー ポリシー] ツリーで、[コンピューター構成>ポリシー>][Windows 設定][セキュリティ設定>>] [ローカル ポリシー>] [監査ポリシー] の順に移動します。

  5. [詳細] ウィンドウで [アカウント管理の監査] を右クリックして、[プロパティ] を選びます。 [これらのポリシーの設定を定義する] をクリックし、[成功][失敗] のチェックボックスをオンにして、[適用][OK] の順にクリックします。

  6. [詳細] ウィンドウで [ディレクトリ サービスのアクセスの監査] を右クリックして、[プロパティ] を選びます。 [これらのポリシーの設定を定義する] をクリックし、[成功][失敗] のチェックボックスをオンにして、[適用][OK] の順にクリックします。

  7. [グループ ポリシー管理エディター] ウィンドウと [グループ ポリシー管理] ウィンドウを閉じます。

  8. 監査の設定を適用するには、[PowerShell] ウィンドウを起動し、次のように入力します。

    gpupdate /force /target:computer
    

数分後に、"コンピューター ポリシーの更新が正常に完了しました" というメッセージが表示されます。

レジストリ設定を構成する

このセクションでは、特権アクセス管理グループの作成に使用される sID 履歴の移行に必要なレジストリ設定を構成します。

  1. PowerShell を起動します。

  2. 次のコマンドを入力して、リモート プロシージャ コール (RPC) のセキュリティ アカウント マネージャー (SAM) データベースへのアクセスを許可するようにソース ドメインを構成します。

    New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
    
    Restart-Computer
    

これによって、ドメイン コントローラー CORPDC が再起動します。 このレジストリ設定について詳しくは、「ADMTv2 を使用したフォレスト間の sIDHistory 移行のトラブルシューティングを行う方法」をご覧ください。

デモ目的で CORP リソースを準備する

PAM を使用してセキュリティ グループベースのアクセス制御をデモンストレーションするには、ドメイン内に少なくとも 1 つのリソースが必要です。 リソースがまだない場合は、デモンストレーションの目的で CORP ドメインに参加しているサーバー上のファイル フォルダーを使用できます。 これにより、contoso.local ドメインで作成した "Jen" と "CorpAdmins" AD オブジェクトを利用できるようになります。

  1. 管理者としてサーバーに接続します。

  2. CorpFS という新しいフォルダーを作成し、CorpAdmins グループと共有します。 管理者として PowerShell を開き、次のコマンドを入力します。

    mkdir c:\corpfs
    
    New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins
    
    $acl = Get-Acl c:\corpfs
    
    $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")
    
    $acl.SetAccessRule($car)
    
    Set-Acl c:\corpfs $acl
    
  3. PRIV ユーザーは別のフォレストからこのサーバーに接続するため、このサーバーのファイアウォール構成を変更して、ユーザーのコンピューターがこのサーバーに接続できるようにする必要がある場合があります。

次の手順では、PRIV ドメイン コントローラーを準備します。