Förstå komponenterna i PAMUnderstand the components of PAM

Med Privileged Access Management separeras administrativ åtkomst från löpande användarkonton.Privileged Access Management keeps administrative access separate from day-to-day user accounts. Den här lösningen är beroende av parallella skogar:This solution relies on parallel forests:

  • CORP: företagsskogen för allmänna uppgifter som innehåller en eller flera domäner.CORP: Your general-purpose corporate forest that includes one or more domains. Även om du kan ha flera CORP-skogar utgår exemplen i de här artiklarna från en enkel skog med en enda domän.While you may have multiple CORP forests, the examples in these articles assume a single forest with a single domain for simplicity.
  • PRIV: en särskild skog som skapats speciellt för det här PAM-scenariot.PRIV: A dedicated forest created especially for this PAM scenario. Den här skogen innehåller en domän för privilegierade grupper och konton som skuggas från en eller fler CORP-domäner.This forest includes one domain to accommodate privileged groups and accounts which are shadowed from one or more CORP domains.

MIM-lösningen som konfigurerats för PAM innehåller följande komponenter:The MIM solution as configured for PAM includes the following components:

  • MIM-tjänsten: implementerar affärslogiken för att utföra identitets- och åtkomsthantering, inklusive hantering av privilegierade konton och utökningsbegäran.MIM Service: implements business logic for performing identity and access management operations, including privileged account management and elevation request handling.
  • MIM-portalen: en SharePoint-baserad portal med SharePoint 2013 som värd, som tillhandahåller administratörer med ett användargränssnitt för hantering och konfiguration.MIM Portal: a SharePoint-based portal, hosted by SharePoint 2013, which provides an administrator management and configuration UI.
  • MIM-tjänstens databas: lagras i SQL Server 2012 eller 2014 och innehåller identitetsdata och metadata som krävs för MIM-tjänsten.MIM Service Database: stored in SQL Server 2012 or 2014, and holds identity data and meta-data required for MIM Service.
  • PAM-övervakningstjänsten och PAM-komponenttjänsten: två tjänster som hanterar livscykeln för privilegierade konton och stöder PRIV AD i gruppmedlemskapets livscykel.PAM Monitoring Service and PAM Component Service: two services that manage the lifecycle of privileged accounts and assists the PRIV AD in group membership lifecycle.
  • PowerShell-cmdletar: för att fylla MIM-tjänsten och PRIV AD med användare och grupper som motsvarar användarna och grupperna i CORP-skogen för PAM-administratörer, och för användare som begär just-in-time-åtkomst (JIT) till privilegier i ett administratörskonto.PowerShell cmdlets: for populating MIM Service and PRIV AD with users and groups that correspond to the users and groups in the CORP forest for PAM administrators, and for end users requesting just-in-time (JIT) use of privileges on an administrative account.
  • PAM REST-API och exempelportal: för utvecklare som integrerar MIM i PAM-scenariot med anpassade klienter för utökning utan att behöva använda PowerShell eller SOAP.PAM REST API and sample portal: for developers integrating MIM in the PAM scenario with custom clients for elevation, without needing to use PowerShell or SOAP. Användning av REST API:t visas med en exempelwebbapp.The use of the REST API is demonstrated with a sample web application.

Efter installation och konfiguration är de grupper som skapats i migreringsproceduren i PRIV-skogen SIDHistory-baserade säkerhetsgrupper (eller externa huvudgrupper i en senare uppdatering med Windows Server vNext) som speglar SID-gruppen i den ursprungliga CORP-skogen.Once installed and configured, each group created by the migration procedure in the PRIV forest is a shadow SIDHistory-based security group (or in a later update with Windows Server vNext, a foreign principal group) mirroring the SID group in the original CORP forest. Dessutom tidsbegränsas medlemskapen när MIM-tjänsten lägger till medlemmar i dessa grupper i PRIV-skogen.Furthermore, when the MIM Service adds members to these groups in the PRIV forest, those memberships will be time limited.

Det gör att när en användare begär utökning med PowerShell-cmdletarna och begäran har godkänts, lägger MIM-tjänsten till deras konton i PRIV-skogen i en grupp i PRIV-skogen.As a result, when a user requests elevation using the PowerShell cmdlets, and their request is approved, the MIM Service will add their account in the PRIV forest to a group in the PRIV forest. När användaren loggar in med sitt privilegierade konto innehåller användarens Kerberos-token en säkerhetsidentifierare (SID) som är identisk med SID för gruppen i CORP-skogen.When the user logs in with their privileged account, their Kerberos token will contain a Security Identifier (SID) identical to the SID of the group in the CORP forest. Eftersom CORP-skogen har konfigurerats att lita på PRIV-skogen, visas det utökade kontot som används för att komma åt en resurs i CORP-skogen som en medlem av resursens säkerhetsgrupper för en resurs som kontrollerar Kerberos gruppmedlemskap.Since the CORP forest is configured to trust the PRIV forest, the elevated account being used to access a resource in the CORP forest appears, to a resource checking the Kerberos group memberships, be a member of that resource’s security groups. Detta tillhandahålls via Kerberos-autentisering mellan skogar.This is provided via Kerberos cross-forest authentication.

Dessutom är dessa medlemskap tidsbegränsade. Det gör att användarens administratörskonto inte längre tillhör gruppen i PRIV-skogen efter en förinställd tidsperiod.Furthermore, these memberships are time limited so that after a preconfigured interval of time, the user’s administrative account will no longer be part of the group in the PRIV forest. Sedan kan kontot inte längre användas för att komma åt ytterligare resurser.As a result, that account will no longer be usable for accessing additional resources.