Implementar o PAM do MIM com o Windows Server 2016
Este cenário permite o MIM 2016 SP2 para o cenário de PAM com funcionalidades de Windows Server 2016 ou posterior como controlador de domínio para a floresta "PRIV". Quando este cenário está configurado, a permissão Kerberos do utilizador terá um prazo limitado ao tempo restante das respetivas ativações da função.
Preparação
São necessárias, no mínimo, duas VMs para o ambiente de laboratório:
A VM aloja o Controlador de Domínio PRIV, executando Windows Server 2016 ou posterior
A VM aloja o Serviço MIM, executando Windows Server 2016 ou posterior
Nota
Se ainda não tiver um domínio "CORP" no seu ambiente de laboratório, é necessário um controlador de domínio adicional para esse domínio. O controlador de domínio "CORP" pode executar o Windows Server 2016 ou o Windows Server 2012 R2.
Faça a instalação tal como descrito no Guia de introdução, exceto conforme indicado abaixo:
Se estiver a criar um novo domínio CORP, ao seguir as instruções no Passo 1 – Preparar o controlador de domínio CORP, pode optar por configurar, opcionalmente, o domínio CORP para estar ao nível funcional do Windows Server 2016. Se escolher esta opção, faça os seguintes ajustes:
Se estiver a utilizar o suporte de dados do Windows Server 2016, a opção de instalação será denominada Windows Server 2016 (Servidor com Experiência de Utilização do Computador).
Pode especificar o nível funcional do Windows Server 2016 para a floresta e o domínio CORP ao fornecer 7 como o número de versão do domínio e da floresta no argumento para o comando Install-ADDSForest da seguinte forma:
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force –NoDnsOnNetwork
Em "Criar novos utilizadores e grupos", o comando final (New-ADGroup -name 'CONTOSO$$$' ...) não é necessário quando os controladores de domínio CORP e PRIV estão Windows Server 2016 nível funcional do domínio.
As alterações descritas em "Configurar a auditoria"(item n.º 8) e "Configurar as definições de registo" (item n.º 10) são recomendadas, mas não são obrigatórias, quando os controladores de domínio CORP e PRIV estão ao nível funcional do domínio do Windows Server 2016.
Se optar por utilizar o Windows Server 2012 R2 como o sistema operativo para CORPDC, tem de instalar as correções 2919442 e 2919355, assim como a atualização 3155495, no CORPDC.
Siga as instruções no Passo 2 – Preparar o controlador de domínio PRIV e certifique-se de que, se estava a utilizar uma versão anterior do conteúdo, para efetuar estes ajustes:
Instale através do suporte de dados do Windows Server 2016. A opção de instalação será denominada Windows Server 2016 (Servidor com Experiência de Utilização do Computador).
Nas instruções "Adicionar funções" (item n.º 4), tem de especificar os números de versão do domínio e da floresta na quarta linha dos comandos do PowerShell como 7, de modo a permitir que as funcionalidades do Windows Server AD descritas posteriormente sejam ativadas.
Install-ADDSForest -DomainMode 7 -ForestMode 7 -DomainName priv.contoso.local -DomainNetbiosName priv -Force -CreateDNSDelegation -DNSDelegationCredential $ca
Ao configurar os direitos de auditoria e início de sessão, tenha em atenção que o programa de Gestão de Políticas de Grupo estará localizado na pasta Ferramentas Administrativas do Windows.
A configuração das definições de registo necessárias para a migração do histórico de SID (item n.º 8) já não é necessária quando o domínio PRIV está Windows Server 2016 nível funcional do domínio.
Depois de configurar a delegação e antes de reiniciar o servidor, ative as funcionalidades do Privileged Access Management no Active Directory do Windows Server 2016 ao iniciar uma janela do PowerShell como administrador e escrever os seguintes comandos.
$of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'" Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"
Depois de configurar a delegação e antes de reiniciar o servidor, autorize a conta do Serviço MIM e os administradores do MIM a criar e atualizar principais sombra.
a. Inicie uma janela do PowerShell e escreva ADSIEdit.
b. No menu Ações, clique em "Ligar a". Na Definição do ponto de ligação, altere o contexto de nomenclatura de "Contexto de nomenclatura predefinido" para "Configuração" e clique em OK.
c. Depois de estabelecer ligação, no lado esquerdo da janela abaixo de "Editor de ADSI", expanda o nó de Configuração para ver "CN=Configuration,DC=priv,...". Expanda CN=Configuration e, em seguida, expanda CN=Services.
d. Clique com o botão direito do rato em "CN=Shadow Principal Configuration" e clique em Propriedades. Quando for apresentada a caixa de diálogo de propriedades, mude para o separador de segurança.
e. Clique em Adicionar. Especifique as contas "MIMService", bem como quaisquer outros administradores do MIM que mais tarde irão executar o comando New-PAMGroup para criar grupos de PAM adicionais. Para cada utilizador, na lista de permissões autorizadas, adicione "Escrever", "Criar todos os objetos subordinados" e "Eliminar todos os objetos subordinados". Adicione as permissões.
f. Mude para as definições de Segurança Avançada. Na linha que permite o acesso ao MIMService, clique em Editar. Altere a definição "Aplica-se a" para "a este objeto e todos os objetos subordinados". Atualize esta definição de permissão e feche a caixa de diálogo de segurança.
exemplo, Feche o Editor de ADSI.
Depois de configurar a delegação e antes de reiniciar o servidor, autorize os administradores do MIM a criar e atualizar a política de autenticação.
a. Inicie uma Linha de comandos elevada e escreva os seguintes comandos, substituindo o nome da conta de administrador do MIM por "mimadmin" em cada linha:
dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
Siga as instruções no Passo 3 – Preparar um servidor PAM.
Tenha em atenção que, ao instalar no Windows Server 2016, a função "ApplicationServer" já não está disponível.
Se estiver a instalar o MIM no Windows Server 2016, não é possível instalar o SharePoint 2013. Se quiser utilizar o Portal do MIM, tem de utilizar uma versão posterior do SharePoint.
Siga as instruções no Passo 4 – Instalar componentes do MIM no servidor e estação de trabalho PAM, com estes ajustes.
O utilizador que instala o Serviço MIM e os componentes do PAM tem de ter acesso de escrita ao domínio PRIV no AD, uma vez que a instalação do MIM cria uma nova UO do AD intitulada "Objetos de PAM".
Se o SharePoint não estiver instalado, não instale o Portal do MIM.
Siga as instruções no Passo 5 - Estabelecer confiança, com estes ajustes:
- Ao estabelecer a confiança unidirecional, execute apenas os dois primeiros comandos do PowerShell (get-credential e New-PAMTrust), não executa o comando New-PAMDomainConfiguration. Em vez disso, depois de estabelecer confiança, inicie sessão no PRIVDC como PRIV\Administrator, inicie o PowerShell e escreva os seguintes comandos:
netdom trust contoso.local /domain:priv.contoso.local /enablesidhistory:yes /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /quarantine:no /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /enablepimtrust:yes /usero:contoso\administrator /passwordo:Pass@word1
- Ao estabelecer a confiança unidirecional, execute apenas os dois primeiros comandos do PowerShell (get-credential e New-PAMTrust), não executa o comando New-PAMDomainConfiguration. Em vez disso, depois de estabelecer confiança, inicie sessão no PRIVDC como PRIV\Administrator, inicie o PowerShell e escreva os seguintes comandos:
O item n.º 5 (verificação de confiança) já não é necessário quando os domínios CORP e PRIV estão no nível funcional do domínio Windows Server 2016.