手順 2 - PRIV ドメイン コントローラーの準備

  • [アーティクル]

<< 手順 1手順 3 >>

この手順では、管理者認証用の要塞環境を提供する新しいドメインを作成します。 このフォレストには、少なくとも 1 つのドメイン コントローラー、メンバー ワークステーション、および少なくとも 1 つのメンバー サーバーが必要です。 メンバー サーバーは、後ほど、次の手順で構成します。

新しい Privileged Access Management ドメイン コントローラーの作成

このセクションでは、新しいフォレストのドメイン コントローラーとして機能するように仮想マシンを設定します。

Windows Server 2016 以降をインストールする

ソフトウェアがインストールされていない別の新しい仮想マシンにWindows Server 2016以降をインストールして、コンピューターを "PRIVDC" にします。

  1. Windows Server の (アップグレードではなく) カスタム インストールを選択して実行します。 インストールする場合は、Windows Server 2016 (デスクトップ エクスペリエンスを使用するサーバー) を指定します。[データ センター] または [Server Core] を選択しないでください

  2. ライセンス条項を確認して同意します。

  3. ディスクは空になるため、[カスタム: Windows のみをインストールする] を選択し、初期化されていないディスク領域を使用します。

  4. オペレーティング システムのバージョンをインストールしたら、この新しいコンピューターに新しい管理者としてサインインします。 コントロール パネルを使用して、コンピューター名を PRIVDC に設定します。 [ネットワーク設定] で、仮想ネットワーク上の静的 IP アドレスを指定し、前の手順でインストールしたドメイン コントローラーの DNS サーバーを構成します。 サーバーを再起動する必要があります。

  5. サーバーが再起動したら、管理者としてサインインします。 [コントロール パネル] を使用して、更新を確認し、必要な更新をインストールするようにコンピューターを構成します。 更新プログラムをインストールするには、サーバーの再起動が必要な場合があります。

ロールを追加する

Active Directory Domain Services (AD DS) と DNS サーバーのロールを追加します。

  1. 管理者として PowerShell を起動します。

  2. Windows Server Active Directory インストールの準備として、次のコマンドを入力します。

    import-module ServerManager

Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools

SID 履歴の移行のためにレジストリ設定を構成する

PowerShell を起動し、次のコマンドを入力して、セキュリティ アカウント マネージャー (SAM) データベースに対するリモート プロシージャ コール (RPC) アクセスを許可するようにソース ドメインを構成します。

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

新しい Privileged Access Management フォレストの作成

次に、サーバーを新しいフォレストのドメイン コントローラーに昇格します。

このガイドでは、priv.contoso.local という名前が新しいフォレストのドメイン名として使用されます。 フォレストの名前は重要ではなく、organization内の既存のフォレスト名に従属している必要はありません。 ただし、新しいフォレストのドメイン名と NetBIOS 名は、組織内の他のドメインと重複せず、一意である必要があります。

ドメインとフォレストの作成

  1. PowerShell ウィンドウで次のコマンドを入力して、新しいドメインを作成します。 これらのコマンドでは、前の手順で作成した上位ドメイン (contoso.local) にも DNS 委任が作成されます。 DNS の構成を後で行う場合は、CreateDNSDelegation -DNSDelegationCredential $ca パラメーターを省略してください。

    $ca= get-credential
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca

  2. DNS 委任を構成するためのポップアップが表示されたら、CORP フォレスト管理者の資格情報を入力します。このガイドでは、ユーザー名 CONTOSO\Administrator と手順 1 の対応するパスワードを指定します。

  3. PowerShell ウィンドウで、セーフ モードの管理者パスワードを入力するように求められます。 新しいパスワードを 2 回入力します。 DNS 委任と暗号化の設定に対する警告メッセージが表示されますが、これは正常です。

フォレストの作成が完了すると、サーバーは自動的に再起動します。

ユーザーおよびサービス アカウントの作成

MIM サービスおよびポータル セットアップのユーザー アカウントとサービス アカウントを作成します。 これらのアカウントは priv.contoso.local ドメインのユーザー コンテナーに入れられます。

  1. サーバーが再起動したら、ドメイン管理者 (PRIV\Administrator) として PRIVDC にサインインします。

  2. PowerShell を起動し、次のコマンドを入力します。 パスワード 'Pass@word1' は一例ですので、アカウントに対する別のパスワードを使用する必要があります。

    import-module activedirectory

$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMMA –name MIMMA

Set-ADAccountPassword –identity MIMMA –NewPassword $sp

Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor

Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp

Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent

Set-ADAccountPassword –identity MIMComponent –NewPassword $sp

Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMSync –name MIMSync

Set-ADAccountPassword –identity MIMSync –NewPassword $sp

Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMService –name MIMService

Set-ADAccountPassword –identity MIMService –NewPassword $sp

Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SharePoint –name SharePoint

Set-ADAccountPassword –identity SharePoint –NewPassword $sp

Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SqlServer –name SqlServer

Set-ADAccountPassword –identity SqlServer –NewPassword $sp

Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName BackupAdmin –name BackupAdmin

Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp

Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1

New-ADUser -SamAccountName MIMAdmin -name MIMAdmin

Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp

Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1

Add-ADGroupMember "Domain Admins" SharePoint

Add-ADGroupMember "Domain Admins" MIMService

監査およびログオン権限の構成

PAM 構成がフォレストをまたいで確立されるように監査を設定する必要があります。

  1. ドメイン管理者 (PRIV\Administrator) としてサインインしていることを確認します。

  2. [Windows 管理ツール>の開始>グループ ポリシー管理] に移動します。

  3. フォレスト: priv.contoso.local>Domains>priv.contoso.local>Domain Controllers Default Domain Controllers> Policy に移動します。 警告メッセージが表示されます。

  4. [既定のドメイン コントローラー ポリシー] を右クリックし、[編集] を選びます。

  5. グループ ポリシー管理エディターコンソール ツリーで、[コンピューター構成>ポリシー] [Windows 設定][セキュリティ設定>] > [ローカル ポリシー>][監査ポリシー>] の順に移動します。

  6. [詳細] ウィンドウで [アカウント管理の監査] を右クリックして、[プロパティ] を選びます。 [これらのポリシーの設定を定義する] をクリックし、[成功] チェック ボックスと [失敗] チェック ボックスをオンにして、[適用][OK] の順にクリックします。

  7. [詳細] ウィンドウで [ディレクトリ サービスのアクセスの監査] を右クリックして、[プロパティ] を選びます。 [これらのポリシーの設定を定義する] をクリックし、[成功] チェック ボックスと [失敗] チェック ボックスをオンにして、[適用][OK] の順にクリックします。

  8. [コンピューターの構成>ポリシー>][Windows 設定][セキュリティ設定>] >[アカウント ポリシー][Kerberos ポリシー] の順に>移動します。

  9. [詳細] ウィンドウで [チケットの最長有効期間] を右クリックして、[プロパティ] を選びます。 [これらのポリシーの設定を定義する] をクリックし、時間数を 1 に設定して、[適用][OK] の順にクリックします。 ウィンドウ内の他の設定も変更されることに注意してください。

  10. [グループ ポリシーの管理] ウィンドウで、 [既定のドメイン ポリシー]を選択して右クリックし、 [編集]を選択します。

  11. [コンピューター構成>ポリシー>] [Windows 設定] [セキュリティ設定]> [ローカル ポリシー]> の順に展開し、[ユーザー権利の割り当て] を選択します。

  12. [詳細] ウィンドウで、[ バッチ ジョブとしてログオンを拒否 する] を右クリックし、[プロパティ] を選択 します

  13. [ これらのポリシー設定を定義 する] チェック ボックスをオンにし、[ ユーザーまたはグループの追加] をクリックし、[ユーザー名とグループ名] フィールドに 「priv\mimmonitor; priv\MIMService; priv\mimcomponent」 と入力 し、[OK] をクリックします

  14. [OK] をクリックしてウィンドウを閉じます。

  15. [詳細] ウィンドウで、[ リモート デスクトップ サービスによるログオンの拒否 ] を右クリックし、[プロパティ] を選択 します

  16. [ これらのポリシー設定の定義 ] チェック ボックスをオンにし、[ ユーザーまたはグループの追加] をクリックし、[ユーザー名とグループ名] フィールドに 「priv\mimmonitor; priv\MIMService; priv\mimcomponent」 と入力 し、[OK] をクリックします

  17. [OK] をクリックしてウィンドウを閉じます。

  18. [グループ ポリシー管理エディター] ウィンドウと [グループ ポリシー管理] ウィンドウを閉じます。

  19. 管理者として PowerShell ウィンドウを起動し、次のコマンドを入力してグループ ポリシー設定からドメイン コント ローラーを更新します。

    gpupdate /force /target:computer

    1 分後に、"コンピューター ポリシーの更新が正常に完了しました" というメッセージで完了します。

PRIVDC で DNS 名の転送を構成する

PRIVDC で PowerShell を使って、PRIV ドメインが他の既存のフォレストを認識するように DNS 名の転送を構成します。

  1. PowerShell を起動します。

  2. 既存の各フォレストの上部にあるドメインごとに、次のコマンドを入力します。 そのコマンドで、既存の DNS ドメイン (contoso.local など) と、そのドメインのプライマリ DNS サーバーの IP アドレスを指定します。

    前の手順で 10.1.1.31 を IP アドレスとして使用して 1 つのドメイン contoso.local を作成した場合は、CORPDC コンピューターの仮想ネットワーク IP アドレスに 10.1.1.31 を指定します。

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31

注意

他のフォレストは、PRIV フォレストに対する DNS クエリをこのドメイン コントローラーにルーティングできる必要もあります。 複数の既存の Active Directory フォレストがある場合は、それらの各フォレストに DNS 条件付きフォワーダーを追加する必要もあります。

Kerberos の構成

  1. PowerShell を使用して SPN を追加することにより、SharePoint、PAM REST API、MIM サービスが Kerberos 認証を使えるようにします。

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
setspn -S http/pamsrv PRIV\SharePoint
setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
setspn -S FIMService/pamsrv PRIV\MIMService

注意

このドキュメントの次のステップでは、1 台のコンピューターに MIM 2016 サーバー コンポーネントをインストールする方法について説明します。 高可用性のためにもう 1 台のサーバーを追加する場合は、「FIM 2010: Kerberos Authentication Setup (Kerberos 認証のセットアップ)」の説明に従って、追加の Kerberos 構成を用意する必要があります。

MIM サービス アカウントにアクセス許可を与える委任を構成する

ドメイン管理者として PRIVDC で次の手順を実行します。

  1. [Active Directory ユーザーとコンピューター] を起動します。

  2. [priv.contoso.local] ドメインを右クリックして、[制御の委任] を選択します。

  3. [選択したユーザーとグループ] タブで、[ 追加] をクリックします。

  4. [ユーザー、コンピューター、またはグループの選択] ウィンドウで、「名前の確認」と入力 mimcomponent; mimmonitor; mimservice してクリック します。 名前に下線が付いた後、[ OK] 、[ 次へ] の順にクリックします。

  5. 共通タスクの一覧で、[ユーザー アカウントの作成、削除、および管理][グループのメンバーシップの変更] の順に選択し、[次へ][完了] の順にクリックします。

  6. もう一度、[priv.contoso.local] ドメインを右クリックして、[制御の委任] を選択します。

  7. [選択したユーザーとグループ] タブで、[ 追加] をクリックします。

  8. [ユーザー、コンピューター、またはグループの選択] ウィンドウで、「MIMAdmin」と入力し、[名前の確認] をクリックします。 名前に下線が付いた後、[ OK] 、[ 次へ] の順にクリックします。

  9. [カスタム タスク] を選択して [このフォルダー] に適用し、[全般] アクセス許可をオンにします。

  10. アクセス許可の一覧で、次のアクセス許可を選択します。

    • 読み取り
    • 書き込み
    • すべての子オブジェクトの作成
    • すべての子オブジェクトの削除
    • すべてのプロパティの読み取り
    • すべてのプロパティを書き込む
    • SID 履歴の移行

  11. [ 次へ]、[完了] の順に クリックします

  12. さらにもう一度、[priv.contoso.local] ドメインを右クリックして、[制御の委任] を選択します。

  13. [選択したユーザーとグループ] タブで、[ 追加] をクリックします。

  14. [ユーザー、コンピューター、またはグループの選択] ウィンドウで、「MIMAdmin」と入力し、[名前の確認] をクリックします。 名前に下線が引かれたら、[OK][次へ] の順にクリックします。

  15. [カスタム タスク] を選択して [このフォルダー] に適用し、[ユーザー オブジェクト] のみをクリックします。

  16. アクセス許可の一覧で、[パスワードの変更][パスワードのリセット] を選択します。 その後、[次へ][完了] の順にクリックします。

  17. [Active Directory ユーザーとコンピューター] を閉じます。

  18. コマンド プロンプトを開きます。

  19. PRIV ドメインで管理者 SD 所有者オブジェクトのアクセス制御リストを確認します。 たとえば、ドメインが "priv.contoso.local" の場合は、次のコマンドを入力します。

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"

  20. 必要に応じてアクセス制御リストを更新して、MIM サービスと MIM PAM コンポーネント サービスがこの ACL によって保護されているグループのメンバーシップを更新できるようにします。 次のコマンドを入力します。

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"

Windows Server 2016で PAM を構成する

次に、MIM 管理者と MIM サービス アカウントにシャドウ プリンシパルの作成と更新を承認します。

  1. PRIV フォレストに Active Directory が存在し、有効になっているWindows Server 2016の Privileged Access Management 機能を有効にします。 管理者として PowerShell ウィンドウを起動し、次のコマンドを入力します。

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"

  2. PowerShell ウィンドウを起動し、「ADSIEdit」と入力します。

  3. [操作] メニューの [接続先] をクリックします。 接続ポイントの設定で、名前付けコンテキストを [既定の名前付けコンテキスト] から [構成] に変更し、[OK] をクリックします。

  4. 接続した後、ウィンドウの左側で [ADSI エディター] の下にある [Configuration] ノードを展開し、[CN=Configuration,DC=priv,....] を表示します。 [CN=Configuration]、[CN=Services] の順に展開します。

  5. [CN=Shadow Principal Configuration] を右クリックし、[プロパティ] をクリックします。 プロパティのダイアログが表示されたら、[セキュリティ] タブに切り替えます。

  6. [追加] をクリックします。 アカウント “MIMService” と、後で New-PAMGroup を実行して追加の PAM グループを作成する他の MIM 管理者をすべて指定します。 各ユーザーの許可されている権限のリストで [書き込み]、[すべての子オブジェクトの作成]、および [すべての子オブジェクトの削除] を追加します。 アクセス許可を追加します。

  7. [セキュリティの詳細] の設定を変更します。 MIMService アクセスを許可する行で、[編集] をクリックします。 [適用先] の設定を、[このオブジェクトとすべての子オブジェクト] に変更します。 このアクセス許可の設定を更新し、[セキュリティ] ダイアログ ボックスを閉じます。

  8. ADSI エディターを閉じます。

  9. 次に、MIM 管理者に認証ポリシーの作成と更新を承認します。 管理者特権のコマンド プロンプトを起動して次のコマンドを入力し、4 つの行のそれぞれで “mimadmin” を MIM 管理者アカウントの名前に置き換えます。

    dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s

dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo

  10. これらの変更が反映されるように、PRIVDC サーバーを再起動します。

PRIV ワークステーションの準備

ワークステーションを準備するには、次の手順に従います。 このワークステーションは、PRIV リソース (MIM など) のメンテナンスを実行するために PRIV ドメインに参加します。

Windows 10 Enterpriseのインストール

ソフトウェアがインストールされていない別の新しい仮想マシンにWindows 10 Enterpriseをインストールして、コンピューターを "PRIVWKSTN" にします。

  1. インストールの間は Express 設定を使用します。

  2. インストールがインターネットに接続できない場合があることに注意してください。 [ローカル アカウントの作成] をクリックします。 別のユーザー名を指定します。"Administrator" または "Jen" は使用しないでください。

  3. コントロール パネルを使用して、このコンピューターに仮想ネットワーク上の静的 IP アドレスを指定し、インターフェイスの優先 DNS サーバーを PRIVDC サーバーの DNS サーバーに設定します。

  4. コントロール パネルを使用して、PRIVWKSTN コンピューターを priv.contoso.local domain ドメインに参加させます。 この手順では、PRIV ドメイン管理者の資格情報を指定する必要があります。 これが完了したら、PRIVWKSTN コンピューターを再起動します。

  5. 64 ビット Windows 用 の Visual C++ 2013 再頒布可能パッケージ をインストールします。

詳細については、特権アクセス ワークステーションのセキュリティ保護に関する記事をご覧ください。

次の手順では、PAM サーバーを準備します。

<< 手順 1手順 3 >>