Krok 1 — Przygotowanie hosta i domeny CORP

Krok 2 »

W tym kroku przygotujesz się do hostowania środowiska, które będzie zarządzane przez usługę PAM. W razie potrzeby utworzysz również kontroler domeny i stację roboczą członka w nowej domenie i lesie (las CORP ). Dostęp do tego lasu będzie pochodzić z tożsamości, które będą zarządzane przez środowisko bastionu z lasem PRIV utworzonym w następnym kroku. Las CORP symuluje istniejący las, który ma zasoby do zarządzania. Ten dokument zawiera przykładowy zasób do ochrony: udział plików.

Jeśli masz już istniejącą domenę usługi Active Directory (AD) z kontrolerem domeny z systemem Windows Server 2012 R2 lub nowszym, gdzie jesteś administratorem domeny, możesz zamiast tego użyć tej domeny i przejść do sekcji "Tworzenie grupy" w tym artykule.

Przygotowanie kontrolera domeny CORP

Niniejsza sekcja opisuje sposób skonfigurowania kontrolera domeny dla domeny CORP. W domenie CORP użytkownicy administracyjni są zarządzani przez środowisko bastionu. Nazwa systemu nazw domen (DNS) domeny CORP używana w tym przykładzie to contoso.local.

Instalacja systemu Windows Server

Zainstaluj Windows Server 2016 lub nowszą na maszynie wirtualnej, aby utworzyć komputer o nazwie CORPDC.

1. Wybierz Windows Server 2016 (serwer ze środowiskiem pulpitu).

2. Przeczytaj i zaakceptuj postanowienia licencyjne.

3. Ponieważ dysk będzie pusty, wybierz pozycję Niestandardowe: zainstaluj tylko system Windows i użyj niezainicjowanego miejsca na dysku.

4. Zaloguj się na nowym komputerze jako administrator. Przejdź do Panelu sterowania. Ustaw nazwę komputera na CORPDC i nadaj mu statyczny adres IP w sieci wirtualnej. Uruchom ponownie serwer.

5. Po ponownym uruchomieniu serwera zaloguj się jako administrator. Przejdź do Panelu sterowania. Skonfiguruj komputer tak, aby sprawdzał dostępność aktualizacji, a następnie zainstaluj wszystkie wymagane aktualizacje. Uruchom ponownie serwer.

Dodawanie ról w celu ustanowienia kontrolera domeny

W tej sekcji skonfigurujesz nowy system Windows Server, aby stał się kontrolerem domeny. Dodasz role Active Directory Domain Services (AD DS), serwera DNS i serwera plików (część sekcji Usługi plików i magazynowania) oraz podwyższysz poziom tego serwera do kontrolera domeny nowego lasu contoso.local.

Uwaga

Jeśli masz już domenę, która ma być używana jako domena CORP, a ta domena używa Windows Server 2012 R2 lub nowszego jako poziomu funkcjonalności domeny, możesz przejść do sekcji Tworzenie dodatkowych użytkowników i grup w celach demonstracyjnych.

1. Uruchom program PowerShell po zalogowaniu się na konto administratora.

2. Wpisz następujące polecenia.

   import-module ServerManager
   
   Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools
   
   Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
   

   Spowoduje to wyświetlenie monitu o podanie hasła administratora trybu awaryjnego. Należy pamiętać, że pojawią się komunikaty ostrzegawcze dotyczące delegowania DNS i ustawień kryptograficznych. Jest to normalne zachowanie.

3. Po zakończeniu tworzenia lasu wyloguj się. Serwer zostanie automatycznie uruchomiony ponownie.

4. Po ponownym uruchomieniu serwera zaloguj się do komputera CORPDC jako administrator domeny. Zazwyczaj jest to użytkownik CONTOSO\Administrator, który będzie miał hasło, które zostało utworzone podczas instalowania systemu Windows w centrum domeny CORPDC.

Instalowanie aktualizacji (tylko Windows Server 2012 R2)

1. Jeśli zdecydujesz się używać Windows Server 2012 R2 jako systemu operacyjnego dla kontrolera domeny CORP, musisz zainstalować poprawki 2919442, 2919355 i zaktualizować poprawkę 3155495 na kontrolerze domeny CORP.

Tworzenie grupy

Utwórz grupę na potrzeby inspekcji przy użyciu usługi Active Directory, jeśli grupa jeszcze nie istnieje. Nazwa grupy musi być nazwą NetBIOS domeny z trzema znakami dolara, np. CONTOSO$$$.

Dla każdej domeny zaloguj się do kontrolera domeny jako administrator domeny i wykonaj następujące czynności:

1. Uruchom program PowerShell.

2. Wpisz poniższe polecenia, zastępując „CONTOSO” nazwą NetBIOS domeny.

   import-module activedirectory
   
   New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
   

W niektórych przypadkach grupa może już istnieć — jest to normalne, jeśli domena była już używana w scenariuszach związanych z migracją usługi AD.

Tworzenie dodatkowych użytkowników i grup demonstracyjnych

Jeśli utworzono nową domenę CORP, należy utworzyć dodatkowych użytkowników i grupy na potrzeby demonstrowania scenariusza PAM. Użytkownicy i grupy demonstracyjne nie powinny być administratorami domeny lub użytkownikami i grupami kontrolowanymi przez ustawienia adminSDHolder w usłudze AD.

Uwaga

Jeśli masz już domenę, której będziesz używać jako domeny CORP i ma użytkownika i grupę, której możesz użyć do celów demonstracyjnych, możesz przejść do sekcji Konfigurowanie inspekcji.

Zamierzamy utworzyć grupę zabezpieczeń o nazwie CorpAdmins i użytkownika o nazwie Jen. W razie potrzeby możesz użyć innych nazw. Jeśli masz już istniejącego użytkownika, np. za pomocą karty inteligentnej, nie musisz tworzyć nowego użytkownika.

1. Uruchom program PowerShell.

2. Wpisz następujące polecenia. Zamień hasło „Pass@word1” na inne.

   import-module activedirectory
   
   New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins
   
   New-ADUser –SamAccountName Jen –name Jen
   
   Add-ADGroupMember –identity CorpAdmins –Members Jen
   
   $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   Set-ADAccountPassword –identity Jen –NewPassword $jp
   
   Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
   

Konfigurowanie inspekcji

Musisz włączyć inspekcję w istniejących lasach, aby ustalić konfigurację PAM w tych lasach.

Dla każdej domeny zaloguj się do kontrolera domeny jako administrator domeny i wykonaj następujące czynności:

1. Przejdź do pozycji Uruchom>narzędzia administracyjne systemu Windows i uruchom zasady grupy Management.

2. Przejdź do zasad kontrolerów domeny dla tej domeny. Jeśli utworzono nową domenę dla domeny contoso.local, przejdź do obszaru Las: contoso.local>Domains>contoso.local>Kontrolery domeny domyślne zasady kontrolerów>domeny. Zostanie wyświetlony komunikat informacyjny.

3. Kliknij prawym przyciskiem myszy pozycję Domyślne zasady kontrolerów domeny i wybierz polecenie Edytuj. Zostanie wyświetlone nowe okno.

4. W oknie edytora zarządzania zasady grupy w drzewie Domyślnych zasad kontrolerów domeny przejdź do obszaruZasady>konfiguracji> komputera Ustawieniasystemu> WindowsUstawienia> zabezpieczeńZasady inspekcji zasad>lokalnych.

5. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Przeprowadź inspekcję zarządzania kontami, a następnie wybierz polecenie Właściwości. Wybierz pozycję Definiuj następujące ustawienia zasad, zaznacz pole wyboru obok pozycji Powodzenie, zaznacz pole wyboru obok pozycji Niepowodzenie, kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.

6. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Przeprowadź inspekcję dostępu do usługi katalogowej, a następnie wybierz polecenie Właściwości. Wybierz pozycję Definiuj następujące ustawienia zasad, zaznacz pole wyboru obok pozycji Powodzenie, zaznacz pole wyboru obok pozycji Niepowodzenie, kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.

7. Zamknij okno Edytor zarządzania zasadami grupy i okno Zarządzanie zasadami grupy.

8. Zastosuj ustawienia inspekcji, otwierając okno programu PowerShell i wpisując następujące polecenie:

   gpupdate /force /target:computer
   

Po upływie kilku minut powinien zostać wyświetlony komunikat Pomyślnie ukończono aktualizowanie zasad komputera.

Konfiguracja ustawień rejestru

W tej sekcji skonfigurujesz ustawienia rejestru wymagane do migracji historii sID, która będzie używana do tworzenia grupy zarządzania dostępem uprzywilejowanym.

1. Uruchom program PowerShell.

2. Wpisz następujące polecenia, aby skonfigurować domenę źródłową i zezwolić na zdalny dostęp do wywołania procedury (RPC) do bazy danych menedżera kont zabezpieczeń (SAM).

   New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
   
   Restart-Computer
   

Operacja spowoduje ponowne uruchomienie kontrolera domeny, CORPDC. Aby uzyskać więcej informacji na temat tego ustawienia rejestru, zobacz temat Sposób rozwiązywania problemów związanych z migracją sIDHistory między lasami przy użyciu narzędzia ADMTv2.

Przygotowywanie zasobu CORP do celów demonstracyjnych

Aby zademonstrować kontrolę dostępu opartą na grupach zabezpieczeń za pomocą usługi PAM, musisz mieć co najmniej jeden zasób w domenie. Jeśli nie masz jeszcze zasobu, możesz użyć folderu plików na serwerze przyłączonym do domeny CORP na potrzeby pokazu. Spowoduje to użycie obiektów „Jen” i „CorpAdmins” usługi AD utworzonych w domenie contoso.local.

1. Połącz się z serwerem jako administrator.

2. Utwórz nowy folder o nazwie CorpFS i udostępnij go grupie CorpAdmins. Otwórz program PowerShell jako administrator i wpisz następujące polecenia.

   mkdir c:\corpfs
   
   New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins
   
   $acl = Get-Acl c:\corpfs
   
   $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")
   
   $acl.SetAccessRule($car)
   
   Set-Acl c:\corpfs $acl
   

3. Ponieważ użytkownik PRIV będzie łączyć się z tym serwerem z innego lasu, może być konieczne zmiana konfiguracji zapory na tym serwerze, aby umożliwić komputerowi użytkownika nawiązanie połączenia z tym serwerem.

W następnym kroku przygotujesz kontroler domeny PRIV.

Krok 2 »