Konfiguracja usługi PAM za pomocą skryptów
Jeśli programy SQL i SharePoint zostaną zainstalowane na oddzielnych serwerach, muszą zostać skonfigurowane z użyciem poniższych instrukcji. Jeśli składniki SQL, SharePoint i PAM zostaną zainstalowane na tym samym komputerze, poniższe kroki należy przeprowadzić z poziomu tego komputera.
Poniższy opis kroków zakłada, że domena PRIV jest już skonfigurowana. Instrukcje dotyczące konfigurowania domeny PRIV można znaleźć w uzupełnieniu na końcu dokumentu.
kroki:
Pobierać Skrypty wdrażania usługi PAM
Rozpakuj skompresowany plik „PAMDeploymentScripts.zip” do folderu %SYSTEMDRIVE%\PAM na wszystkich komputerach.
Na dowolnym z komputerów otwórz plik PAMDeploymentConfig.xml i zaktualizuj szczegółowe dane przy użyciu poniższej tabeli lub w oparciu o wskazówki zawarte w samym pliku XML. Jeśli lasy CORP i PRIV są już skonfigurowane, wystarczy zaktualizować pozycje DNSName i NetbiosName.
W sekcji Role zaktualizuj dane: konto usługi, szczegóły komputera i lokalizacja plików binarnych instalacji dla ról SQL, SharePoint i MIM.
- Lokalizacja plików binarnych MIM musi wskazywać katalog zawierający folder „Service and Portal”. Lokalizacja plików binarnych klienta musi wskazywać katalog zawierający plik „Add-ins and Extensions.msi”.
Jeśli jest to środowisko PRIVOnly, w którym nie ma lasu CORP, tag PRIVOnly musi być ustawiony na true.
- W środowiskach PRIVOnly należy zaktualizować dane DNSName i NetbiosName domeny PRIV, tak aby pasowały do domeny CORP. Upewnij się, że sufiksy maszyny są poprawne dla maszyn, na których zostaną zainstalowane składniki SQL, SharePoint i MIM, jako że domyślny plik szablonu zakłada konfigurację CORP i PRIV.
Skopiuj ten sam plik PAMDeploymentConfig.xml do folderu %SYSTEMDRIVE%\PAM na wszystkich maszynach, kontrolerach domeny CORPDC i PRIVDC oraz serwerach składników PAM, SQL Server i SharePoint.
Arkusz wdrażania
Przed kontynuowaniem aktualizacji PAMDeploymentConfig.xml i umieść zaktualizowaną kopię na wszystkich maszynach.
Konfigurowanie
| Maszyna | Do uruchomienia jako | Polecenia |
|---|---|---|
| Kontroler domeny PRIVDC | Administrator domeny PRIV | .\PAMDeployment.ps1 Wybierz opcję menu 1 (PRIV Forest Configuration (Konfiguracja lasu PRIV)). |
| Powyższy krok pozwala wygenerować plik SIDs.txt. Plik ten należy przed przejściem do następnego kroku skopiować do lokalizacji $envDrive:PAM kontrolera domeny CORPDC. | ||
| Kontroler domeny CORPDC | Administrator domeny CORP | .\PAMDeployment.ps1 Wybierz opcję menu 2 (CORP Forest Configuration (Konfiguracja lasu CORP)). |
| PAMServer (lub SQL Server) | Administrator domeny CORP | .\PAMDeployment.ps1 Wybierz opcję menu 2 (CORP Forest Configuration (Konfiguracja lasu CORP)). |
| PAMServer | Administrator lokalny (po przyłączeniu do domeny: administrator MIM) | .\PAMDeployment.ps1 Wybierz opcję menu 4 (SharePoint Setup (Instalator programu SharePoint)). |
| PAMServer | Administrator lokalny (po przyłączeniu do domeny: administrator MIM) | .\PAMDeployment.ps1 Wybierz opcję menu 5 (MIM PAM Setup (Konfiguracja usługi PAM programu MIM)). |
| PAMServer | MIMAdmin | .\PAMDeployment.ps1 Wybierz opcję menu 6 (PAM Trust Setup (Konfiguracja zaufania usługi PAM)). |
Walidacja
| Maszyna | Do uruchomienia jako | Polecenia |
|---|---|---|
| CORPClient | Użytkownik domeny CORP (administrator lokalny) | .\PAMDeployment.ps1 Wybierz opcję menu 7 (MIM PAM Client Setup (Konfiguracja klienta usługi PAM programu MIM)). |
| Kontroler domeny CORPDC | Administrator domeny CORP | Import-module .\PAMValidation.psm1 ; Create-PAMValidationCORPDCConfig |
| PAMServer | MIMAdmin | Import-module .\PAMValidation.psm1 ; Move-PAMValidationUsersToPAM |
| CORPClient | Użytkownik domeny CORP (administrator lokalny) | Import-module .\PAMValidation.psm1 ; Enable-PAMUsersCORPClientRemote |
| CORPClient | <PRIV>\PRIV.pamRequestor użytkownik i w przypadku privOnly: <CORP>\pamrequestor |
Import-module .\PAMValidation.psm1 ; Test-PAMValidationScenarioNoApprovalRequest |