Distribuera MIM PAM med Windows Server 2016Deploy MIM PAM with Windows Server 2016

I det här scenariot kan MIM 2016 SP1 använda funktioner i Windows Server 2016 som domänkontrollant ”PRIV”-skogen.This scenario enables MIM 2016 SP1 to leverage features of Windows Server 2016 as the domain controller for the “PRIV” forest. När scenariot har konfigurerats tidsbegränsas en användares Kerberos-biljett till den återstående tiden för användarens rollaktivering.When this scenario is configured, a user’s Kerberos ticket will be time-limited to the remaining time of their role activations.

Anteckning

Tidigare tekniska förhandsvisningar av Windows Server 2016 före teknisk förhandsvisning 5 inte kan användas med den här versionen av MIM.Earlier technical previews of Windows Server 2016 before Technical Preview 5 cannot be used with this MIM release.

FörberedelsePreparation

Det krävs minst två virtuella datorer för laboratoriemiljön:A minimum of two VMs are required for the lab environment:

  • En virtuell dator är värd för PRIV-domänkontrollanten som kör Windows Server 2016VM hosts the PRIV Domain Controller, running Windows Server 2016

  • En virtuell dator är värd för MIM-tjänsten som kör Windows Server 2016 (rekommenderas) eller Windows Server 2012 R2VM hosts the MIM Service, running Windows Server 2016 (recommended) or Windows Server 2012 R2

Anteckning

Om du inte redan har en ”CORP”-domän i laboratoriemiljön krävs ytterligare en domänkontrollant i domänen.If you do not already have a “CORP” domain in your lab environment, an additional domain controller for that domain is required. ”CORP”-domänkontrollanten kan antingen köra Windows Server 2016 eller Windows Server 2012 R2.The “CORP” domain controller can run either Windows Server 2016 or Windows Server 2012 R2.

Genomför installationen enligt beskrivningen i guiden för att komma igång, med undantag av vad som anges nedan:Perform the install as described in the Getting started guide, except as indicated below:

  • Om du skapar en ny domän i CORP när du följer instruktionerna i Steg 1 - Förbereda CORP-domänkontrollanten kan du också konfigurera CORP- domänens funktionsnivå för Windows Server 2016.If you are creating a new CORP domain, when following the instructions in Step 1 - Prepare the CORP domain controller, you can choose to optionally configure the CORP domain to be at the Windows Server 2016 functional level. Om du väljer det här alternativet kan du göra följande justeringar:If you choose this option, make the following adjustments:

    • Om du använder Windows Server 2016 media kallas installationsalternativet Windows Server 2016 (Server med skrivbordsmiljö).If you are using Windows Server 2016 media, the installation option will be called Windows Server 2016 (Server with Desktop Experience).

    • Du kan ange funktionsnivån för Windows Server 2016 för CORP-skogen och -domänen genom att ange 7 som versionsnummer för domänen och skogen i argumentet för kommandot Install-ADDSForest enligt följande:You can Specify the Windows Server 2016 functional level for the CORP forest and domain by supplying 7 as the domain and forest version number in the argument to the Install-ADDSForest command, as follows:

      Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force –NoDnsOnNetwork
      
    • I ”Skapa nya användare och grupper” är det slutliga kommandot (nytt ADGroup-namnet ”CONTOSO$$$'...) inte nödvändigt när både CORP- och PRIV-domänkontrollanternas funktionsnivåer är konfigurerade för Windows Server 2016.In "Create new users and groups", the final command (New-ADGroup -name 'CONTOSO$$$' …) is not required when both CORP and PRIV domain controllers are Windows Server 2016 domain functional level.

    • Ändringarna som beskrivs i ”Konfigurera granskning”(objekt #8) och ”Konfigurera registerinställningar” (objekt #10) rekommenderas men är inte obligatoriska när både CORP- och PRIV-domänkontrollanternas funktionsnivåer är konfigurerade för Windows Server 2016.The changes described in "Configure auditing"(item #8) and "Configure registry settings" (item #10) are recommended but not required when both CORP and PRIV domain controllers are Windows Server 2016 domain functional level.

  • Om du väljer att använda Windows Server 2012 R2 som operativsystem för CORPDC, måste du installera snabbkorrigeringar 2919442, 2919355, och uppdatera 3155495 på CORPDC.If you choose to use Windows Server 2012 R2 as the operating system for CORPDC, you must install hotfixes 2919442, 2919355, and update 3155495 on CORPDC.

  • Följ instruktionerna i Steg 2 - Förbereda PRIV-domänkontrollant med undantag av dessa justeringar:Follow the instructions in Step 2 - Prepare PRIV domain controller, except for these adjustments:

    • Installera med hjälp av Windows Server 2016 media.Install using Windows Server 2016 media. Installationsalternativet kallas Windows Server 2016 (Server med skrivbordsmiljö).The installation option will be called Windows Server 2016 (Server with Desktop Experience).

    • I anvisningarna ”Lägg till roller” (objekt #4) måste du ange 7 som versionsnummer för domänen och skogen i den fjärde raden i PowerShell-kommandon för att tillåta att nedanstående Windows Server AD-funktioner är aktiverade.In the "Add roles" instructions (item #4), you must specify the domain and forest version numbers in the fourth line of the PowerShell commands to be 7, to permit the Windows Server AD features described later to be enabled.

      Install-ADDSForest -DomainMode 7 -ForestMode 7 -DomainName priv.contoso.local  -DomainNetbiosName priv -Force -CreateDNSDelegation -DNSDelegationCredential $ca
      
    • När du konfigurerar gransknings- och inloggningsrättigheter bör du notera att programmet för grupprinciphantering finns i mappen Administrationsverktyg för Windows.When configuring the auditing and logon rights, note that the Group Policy Management program will be located in the Windows Administrative Tools folder.

    • Du behöver inte konfigurera registerinställningarna som behövs för att flytta SID-historiken (objekt #8) när PRIV-domänens funktionsnivå är konfigurerad för Windows Server 2016.Configuring the registry settings needed for SID history migration (item #8) is not required when the PRIV domain is Windows Server 2016 domain functional level.

    • När du har konfigurerat delegering och innan du startar om servern ska du aktivera funktionen privilegierad åtkomsthantering i Windows Server 2016 Active Directory genom att starta ett PowerShell-fönster som administratör och sedan skriva följande kommandon.After configuring delegation, and before restarting the server, enable the Privileged Access Management features in Windows Server 2016 Active Directory by launching a PowerShell window as administrator and typing the following commands.

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
    Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"
    
    • När du har konfigurerat delegering och innan du startar om servern bör du ge behörighet till MIM-administratörer och MIM-tjänstkontot för att skapa och uppdatera skuggprinciper.After configuring delegation, and before restarting the server, authorize the MIM administrators and MIM Service account to create and update shadow principals.

      a.a. Starta powershell-fönstret och Skriv ADSIEdit.Launch a powershell window and type ADSIEdit.

      b.b. I menyn Åtgärder klickar du på ”Anslut till”.Open the Actions menu, click “Connect To”. Ändra namngivningskontexten från ”Standardbaserad namngivningskontext” till ”Configuration” i inställningen Anslutning och klicka på OK.On the Connection point setting, change the naming context from “Default naming context” to “Configuration” and click OK.

      c.c. Expandera noden Configuration att se när du har anslutit till vänster i fönstret nedanför ”ADSI-redigering” för att visa ”CN = Configuration, DC = priv,...”.After connecting, on the left side of the window below “ADSI Edit”, expand the Configuration node to see “CN=Configuration,DC=priv,....”. Expandera CN = Configuration och expandera sedan CN = Services.Expand CN=Configuration, and then expand CN=Services.

      d.d. Högerklicka på ”CN = Shadow Principal Configuration” och klicka på Egenskaper.Right click on “CN=Shadow Principal Configuration” and click on Properties. Gå till säkerhetsfliken när dialogrutan Egenskaper visas.When the properties dialog appears, change to the security tab.

      e.e. Klicka på Lägg till....Click Add. Ange kontona ”MIMService”, samt andra MIM-administratörer som senare kommer att utföra New-PAMGroup för att skapa ytterligare PAM-grupper.Specify the accounts “MIMService”, as well as any other MIM administrators who will later be performing New-PAMGroup to create additional PAM groups. För varje användare i behörighetslistan över tillåtna lägger du till ”Skriva”, ”Skapa alla underordnade objekt” och ”Ta bort alla underordnade objekt”.For each user, in the allowed permissions list, add “Write”, “Create all child objects”, and “Delete all child objects”. Lägg till behörigheterna.Add the permissions.

      f.f. Ändra till avancerade säkerhetsinställningar.Change to Advanced Security settings. Klicka på Redigera på den rad som tillåter åtkomst till MIMService.On the line which allows MIMService access, click Edit. Ändra inställningen ”Gäller” till ”För det här objektet och alla underordnade objekt”.Change the “Applies to” setting to “to this object and all descendant objects”. Uppdatera behörighetsinställningen och stäng dialogrutan säkerhet.Update this permission setting and close the security dialog box.

      g.g. Stäng ADSI-redigering.Close ADSI Edit.

    • När du har konfigurerat delegering och innan du startar om servern bör du ge behörighet till MIM-administratörer för att skapa och uppdatera behörighetsprinciper.After configuring delegation, and before restarting the server, authorize the MIM administrators to create and update authentication policy.

      a.a. Starta en upphöjd kommandotolk, skriv följande kommandon och ersätt namnet på ditt MIM-administratörskonto med ”mimadmin” på var och en av de fyra raderna:Launch an elevated Command prompt and type the following commands, substituting the name of your MIM administrator account for “mimadmin” in each of the four lines:

      dsacls "CN=AuthN Policies,CN=AuthN Policy
      Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g
      mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s
      
      dsacls "CN=AuthN Policies,CN=AuthN Policy
      Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g
      mimadmin:CCDC;msDS-AuthNPolicy
      
      dsacls "CN=AuthN Silos,CN=AuthN Policy
      Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g
      mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s
      
      dsacls "CN=AuthN Silos,CN=AuthN Policy
      Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g
      mimadmin:CCDC;msDS-AuthNPolicySilo
      
  • Följ instruktionerna i Steg 3 - Förbered en PAM-server med dessa ändringar.Follow the instructions in Step 3 - Prepare a PAM server, with these adjustments.

    • Om du installerar på Windows Server 2016 är rollen ”ApplicationServer” inte tillgänglig.If installing on Windows Server 2016, note that the “ApplicationServer” role is not available.

    • Om du installerar MIM på Windows Server 2016 går det inte att installera SharePoint 2013.If installing MIM on Windows Server 2016, it is not possible to install SharePoint 2013.

  • Följ instruktionerna i Steg 4 – Installera MIM-komponenter på PAM-server och -arbetsstation med dessa ändringar.Follow the instructions in Step 4 – Install MIM components on PAM server and workstation, with these adjustments.

    • Användaren som installerar MIM-tjänsten och PAM-komponenter måste ha skrivbehörighet till PRIV-domänen i AD eftersom MIM-installationen skapar en ny AD-organisationsenhet: ”PAM objects”.The user installing the MIM Service and PAM components must have write access to the PRIV domain in AD, as the MIM installation creates a new AD OU “PAM objects”.

    • Installera inte MIM-portalen om SharePoint inte har installerats.If SharePoint is not installed, do not install the MIM Portal.

  • Följ instruktionerna i Steg 5 - Upprätta förtroende med dessa ändringar:Follow the instructions in Step 5 - Establish trust with these adjustments:

    • När du etablerar envägsförtroenden ska du endast utföra de första två PowerShell-kommandona (get-credential och New-PAMTrust) och inte kommandot New-PAMDomainConfiguration.When establishing one way trust, only perform the first two PowerShell commands (get-credential and New-PAMTrust), do not perform the New-PAMDomainConfiguration command.

    • När du har etablerat ett förtroende ska du logga in på PRIVDC som PRIV\-administratör, starta PowerShell och ange följande kommandon:After establishing trust, log onto PRIVDC as PRIV\Administrator, launch PowerShell and type the following commands:

      netdom trust contoso.local /domain:priv.contoso.local /enablesidhistory:yes
      /usero:contoso\\administrator /passwordo:Pass\@word1
      
      netdom trust contoso.local /domain:priv.contoso.local /quarantine:no
      /usero:contoso\\administrator /passwordo:Pass\@word1  
      
      netdom trust contoso.local /domain:priv.contoso.local /enablepimtrust:yes
      /usero:contoso\\administrator /passwordo:Pass\@word1
      
  • Objekt #5 (verifiering av förtroende) behövs inte när både CORP- och PRIV-domänernas funktionsnivå är konfigurerade för Windows Server 2016.Item #5 (verification of trust) is not required when both CORP and PRIV domains are at Windows Server 2016 domain functional level.

Mer informationMore information