Passo 7 – Elevar o acesso de um utilizador

Este passo demonstra que um utilizador pode pedir acesso a uma função através de MIM.

Certifique-se que a Jen não pode aceder ao recurso com privilégios

Sem privilégios elevados, a Jen não pode aceder ao recurso com privilégios na floresta CORP.

  1. Terminar sessão no CORPWKSTN para remover quaisquer ligações abertas em cache.
  2. Inicie sessão no CORPWKSTN como CONTOSO\Jen e mude para a vista de Ambiente de trabalho.
  3. Abra uma linha de comandos DOS.
  4. Escreva o comando dir \\corpwkstn\corpfs. A mensagem de erro Acesso negado deve aparecer.
  5. Deixe a janela de linha de comandos aberta.

Pedir acesso privilegiado do MIM.

Nota

Recomenda-se que a estação de trabalho seja uma estação de trabalho privilegiada (PAW). Para obter mais informações consulte dispositivos de fixação.

  1. No PRIVWKSTN, logor o início como PRIV\priv.jen.

  2. Clique em Iniciar, Executar e introduzaPowerShell.exe.

  3. Escreva o seguinte comando.

    runas /user:Priv.Jen@priv.contoso.local powershell
    
  4. Quando lhe for pedido, escreva a palavra-passe para a conta PRIV.Jen. Será apresentada uma nova janela de linha de comandos.

  5. Quando for apresentada a janela do PowerShell, escreva os comandos seguintes.

    Nota

    Depois de executar estes comandos, os seguintes passos são sensíveis ao tempo.

    Import-module MIMPAM
    $r = Get-PAMRoleForRequest | ? { $_.DisplayName –eq "CorpAdmins" }
    New-PAMRequest –role $r
    klist purge
    
  6. Quando concluído, feche a janela do PowerShell.

  7. Na janela de linha de comandos DOS, escreva o seguinte comando

    runas /user:Priv.Jen@priv.contoso.local powershell
    
  8. Escreva a palavra-passe para a conta PRIV.Jen. Será apresentada uma nova janela de linha de comandos.

Valide o acesso elevado.

Na janela de linha de comandos recém aberta, escreva os seguintes comandos.

whoami /groups
dir \\corpwkstn\corpfs

Se o comando dir falhar com a mensagem de erro Acesso negado, verifique novamente a relação de fidedignidade.

Ativar a função com privilégios

Ative pedindo acesso privilegiado através do portal de amostra de PAM.

  1. No CORPWKSTN, certifique-se de que tem sessão iniciada como CORP\Jen.

  2. Escreva o seguinte comando na janela de linha de comandos DOS.

    runas /user:Priv.Jen@priv.contoso.local "c:\program files\Internet Explorer\iexplore.exe"
    
  3. Quando lhe for pedido, escreva a palavra-passe para a conta PRIV.Jen. Será apresentada uma nova janela de browser.

  4. Navegue http://pamsrv.priv.contoso.local:8090 e certifique-se de que uma página web do portal da amostra é visível.

  5. No Internet Explorer, selecione Tools > Internet Options e clique no separador Segurança.

  6. Clique na zona intranet Local > Sites > Advanced e adicione o site à zona.

  7. Feche a caixa de diálogo Opções da Internet.

  8. No separador à esquerda, clique em Ativar. Selecione a Função PAM e, em seguida, clique em Ativar.

Nota

Neste ambiente, também pode aprender como desenvolver aplicações que utilizam a API REST do PAM, descrita em Referência à API REST do Privileged Access Management.

Resumo

Depois de concluir os passos nestas instruções, terá demonstrado um cenário de Privileged Access Management, no qual os privilégios de utilizador são elevados durante um período limitado de tempo, permitindo que o utilizador aceda a recursos protegidos com uma conta com privilégios separada. Assim que a sessão de elevação expira, a conta com privilégios já não consegue aceder ao recurso protegido. A decisão sobre que grupos de segurança representam funções com privilégios é coordenada pelo administrador de PAM. Depois dos direitos de acesso serem migrados para o sistema de Privileged Access Management, o acesso que era anteriormente possível com a conta de utilizador original é, agora, possível apenas ao iniciar sessão com uma conta com privilégios especiais, e disponibilizado após pedido. Como resultado, as associações de grupo para os grupos com privilégios elevados são eficazes durante um período limitado de tempo.