Steg 1 – förbereda värden och CORP-domänenStep 1 - Prepare the host and the CORP domain

I det här steget förbereder du hanteringen av skyddsmiljön.In this step, you will prepare to host the bastion environment. Vid behov kan du också skapa en domänkontrollant och en medlemsarbetsstation i en ny domän och skog (CORP-skogen) med identiteter som ska hanteras av skyddsmiljön.If necessary, you'll also create a domain controller and a member workstation in a new domain and forest (the CORP forest) with identities to be managed by the bastion environment. Den här CORP-skogen simulerar en befintlig skog som har resurser som ska hanteras.This CORP forest simulates an existing forest that has resources to be managed. I det här dokumentet finns en exempelresurs som ska skyddas, en filresurs.This document includes an example resource to be protected, a file share.

Om du redan har en befintlig Active Directory-domän (AD) med en domänkontrollant som kör Windows Server 2012 R2 eller senare, i vilken du är domänadministratör, kan du använda den domänen i stället.If you already have an existing Active Directory (AD) domain with a domain controller running Windows Server 2012 R2 or later, where you are a domain administrator, you can use that domain instead.

Förbereda CORP-domänkontrollantenPrepare the CORP domain controller

I det här avsnittet beskrivs hur du konfigurerar en domänkontrollant för en CORP-domän.This section describes how to set up a domain controller for a CORP domain. I CORP-domänen hanteras de administrativa användare av skyddsmiljön.In the CORP domain, the administrative users are managed by the bastion environment. I det här exemplet används contoso.local som DNS-namn (Domain Name System) för CORP-domänen.The Domain Name System (DNS) name of the CORP domain used in this example is contoso.local.

Installera Windows ServerInstall Windows Server

Installera Windows Server 2012 R2 eller Windows Server 2016 Technical Preview 4 eller senare på en virtuell dator för att skapa en dator som kallas CORPDC.Install Windows Server 2012 R2, or Windows Server 2016 Technical Preview 4 or later, on a virtual machine to create a computer called CORPDC.

  1. Välj Windows Server 2012 R2 Standard (server med GUI) x64 eller Windows Server 2016 Technical Preview (server med Skrivbordsmiljö).Choose Windows Server 2012 R2 Standard (Server with a GUI) x64 or Windows Server 2016 Technical Preview (Server with Desktop Experience).

  2. Granska och godkänn licensvillkoren.Review and accept the license terms.

  3. Eftersom disken är tom markerar du Anpassad: Installera bara Windows och använd diskutrymmet som inte initierats.Since the disk will be empty, select Custom: Install Windows only and use the uninitialized disk space.

  4. Logga in på den nya datorn som administratör.Sign in to that new computer as its administrator. Gå till Kontrollpanelen.Navigate to the Control Panel. Ange datornamnet till CORPDC, och tilldela en statisk IP-adress på det virtuella nätverket.Set the computer name to CORPDC, and give it a static IP address on the virtual network. Starta om servern.Restart the server.

  5. När servern har startats om loggar du in som administratör.After the server has restarted, sign in as an administrator. Gå till Kontrollpanelen.Navigate to the Control Panel. Konfigurera datorn att söka efter uppdateringar och installera de uppdateringar som krävs.Configure the computer to check for updates, and install any updates needed. Starta om servern.Restart the server.

Lägga till roller för att upprätta en domänkontrollantAdd roles to establish a domain controller

I det här avsnittet lägger du till roller för Active Directory Domain Services (AD DS), DNS-server och filserver (i avsnittet fil- och lagringstjänster) och befordrar servern till en domänkontrollant för en ny contoso.local-skog.In this section, you will add the Active Directory Domain Services (AD DS), DNS Server, and File Server (part of the File and Storage Services section) roles, and promote this server to a domain controller of a new forest contoso.local.

Anteckning

Om du redan har en domän som ska användas som CORP-domän, och domänen använder Windows Server 2012 R2 eller senare som domänkontrollant, kan du gå vidare till Skapa ytterligare användare och grupper i exempelsyfte.If you already have a domain to use as your CORP domain, and that domain uses Windows Server 2012 R2 or later as its domain controller, you can skip to Create additional users and groups for demonstration purposes.

  1. När du är inloggad som administratör startar du PowerShell.While signed in as an administrator, launch PowerShell.

  2. Skriv in följande kommandon:Type the following commands.

    import-module ServerManager
    
    Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools
    
    Install-ADDSForest –DomainMode Win2008R2 –ForestMode Win2008R2 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
    

    En uppmaning visas om att du ska ange ett administratörslösenord för säkert läge.This will prompt for a Safe Mode Administrator Password to use. Obs! Varningsmeddelanden för DNS-delegering och kryptografiinställningar visas.Note that warning messages for DNS delegation and cryptography settings will appear. Det är normalt.These are normal.

  3. När skogen har skapats loggar du ut. Servern startar om automatiskt.After the forest creation is complete, sign out. The server will restart automatically.

  4. När servern har startats om logga du in på CORPDC som administratör för domänen.After the server restarts, sign in to CORPDC as an administrator of the domain. Det är vanligtvis användaren CONTOSO\Administratör som har lösenordet som skapades när du installerade Windows på CORPDC.This is typically the user CONTOSO\Administrator, which will have the password that was created when you installed Windows on CORPDC.

Skapa en gruppCreate a group

Skapa en grupp för granskning av Active Directory om gruppen inte redan finns.Create a group for auditing purposes by Active Directory, if the group does not already exist. Namnet på gruppen måste vara NetBIOS-domännamnet följt av tre dollartecken, till exempel CONTOSO$$$.The name of the group must be the NetBIOS domain name followed by three dollar signs, for example CONTOSO$$$.

Logga in på en domänkontrollant som domänadministratör för varje domän och utför följande steg:For each domain, sign in to a domain controller as a domain administrator, and perform the following steps:

  1. Starta PowerShell.Launch PowerShell.

  2. Skriv följande kommandon, men ersätt "CONTOSO" med NetBIOS-namnet på din domän.Type the following commands, but replace "CONTOSO" with the NetBIOS name of your domain.

    import-module activedirectory
    
    New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
    

I vissa fall kan gruppen redan finnas. Det är normalt om domänen också har använts i AD-migreringsscenarier.In some cases the group may already exist - this is normal if the domain was also used in AD migration scenarios.

Skapa ytterligare användare och grupper i exempelsyfteCreate additional users and groups for demonstration purposes

Om du har skapat en ny CORP-domän bör du skapa ytterligare användare och grupper för att visa PAM-scenariot.If you created a new CORP domain, then you should create additional users and groups for demonstrating the PAM scenario. De användare och grupper du skapar i exempelsyfte bör inte vara domänadministratörer eller styras av inställningarna för adminSDHolder i AD.The user and group for demonstration purposes should not be domain administrators or controlled by the adminSDHolder settings in AD.

Anteckning

Om du redan har en domän som du tänker använda som CORP-domän och har en användare och en grupp som du kan använda som exempel kan du gå vidare till avsnittet Konfigurera granskning.If you already have a domain you will be using as the CORP domain, and it has a user and a group that you can use for demonstration purposes, then you can skip to the section Configure auditing.

Vi ska skapa en säkerhetsgrupp med namnet CorpAdmins och en användare med namnet Lisa.We're going to create a security group named CorpAdmins and a user named Jen. Du kan använda olika namn om du vill.You can use different names if you wish.

  1. Starta PowerShell.Launch PowerShell.

  2. Skriv in följande kommandon:Type the following commands. Ersätt lösenordet ”Pass@word1” med ett annat lösenord.Replace the password 'Pass@word1' with a different password string.

    import-module activedirectory
    
    New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins
    
    New-ADUser –SamAccountName Jen –name Jen
    
    Add-ADGroupMember –identity CorpAdmins –Members Jen
    
    $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    
    Set-ADAccountPassword –identity Jen –NewPassword $jp
    
    Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
    

Konfigurera granskningConfigure auditing

Du måste aktivera granskning i befintliga skogar för att upprätta PAM-konfigurationen på de skogarna.You need to enable auditing in existing forests in order to establish the PAM configuration on those forests.

Logga in på en domänkontrollant som domänadministratör för varje domän och utför följande steg:For each domain, sign in to a domain controller as a domain administrator, and perform the following steps:

  1. Gå till Start > Administrationsverktyg (på Windows Server 2016 Administrationsverktyg för Windows **) och starta **Grupprinciphantering.Go to Start > Administrative Tools (or, on Windows Server 2016, Windows Administrative Tools), and launch Group Policy Management.

  2. Gå till domänens princip för domänkontrollanter.Navigate to the domain controllers policy for this domain. Om du har skapat en ny domän för contoso.local går du till Skog: contoso.local > Domäner > contoso.local > Domänkontrollanter > Standardprincip för domänkontrollanter.If you created a new domain for contoso.local, navigate to Forest: contoso.local > Domains > contoso.local > Domain Controllers > Default Domain Controllers Policy. Ett informationsmeddelande visas.An informational message appears.

  3. Högerklicka på Standardprincip för domänkontrollanter och välj Redigera.Right-click on Default Domain Controllers Policy and select Edit. Ett nytt fönster visas.A new window appears.

  4. I fönstret Redigeraren Grupprinciphantering under trädet Standardprincip för domänkontrollanter går du till Datorkonfiguration > Principer > Windows-inställningar > Säkerhetsinställningar > Lokala principer > Granskningsprincip.In the Group Policy Management Editor window, under the Default Domain Controllers Policy tree, navigate to Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy.

  5. Högerklicka på Granska kontohantering i informationsfönstret och välj Egenskaper.In the details pane, right click on Audit account management and select Properties. Välj Definiera följande principinställningar, markera kryssrutorna Lyckade och Misslyckade och klicka på Tillämpa och OK.Select Define these policy settings, put a checkbox on Success, put a checkbox on Failure, click Apply and OK.

  6. Högerklicka på Granska katalogtjänståtkomst i informationsfönstret och välj Egenskaper.In the details pane, right click on Audit directory service access and select Properties. Välj Definiera följande principinställningar, markera kryssrutorna Lyckade och Misslyckade och klicka på Tillämpa och OK.Select Define these policy settings, put a checkbox on Success, put a checkbox on Failure, click Apply and OK.

  7. Stäng fönstren Redigeraren Grupprinciphantering och Grupprinciphantering.Close the Group Policy Management Editor window and the Group Policy Management window.

  8. Tillämpa granskningsinställningarna genom att öppna ett PowerShell-fönster och skriva:Apply the audit settings by launching a PowerShell window and typing:

    gpupdate /force /target:computer
    

Meddelandet Uppdatering av grupprincip har slutförts visas efter några minuter.The message Computer Policy update has completed successfully should appear after a few minutes.

Konfigurera registerinställningarConfigure registry settings

I det här avsnittet ska du konfigurera de registerinställningar som krävs för migrering av SID-historik och som används till att skapa Privileged Access Management-grupper.In this section you will configure the registry settings that are needed for sID History migration, which will be used for Privileged Access Management group creation.

  1. Starta PowerShell.Launch PowerShell.

  2. Skriv följande kommandon för att konfigurera källdomänen att tillåta RPC-åtkomst (Remote Procedure Call) till databasen för hanteraren för kontosäkerhet (SAM).Type the following commands to configure the source domain to permit remote procedure call (RPC) access to the security accounts manager (SAM) database.

    New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
    
    Restart-Computer
    

Domänkontrollanten CORPDC startas om.This will restart the domain controller, CORPDC. Mer information om den här registerinställningen finns i Felsöka sIDHistory-migrering mellan skogar med ADMTv2.For further information on this registry setting, see How to troubleshoot inter-forest sIDHistory migration with ADMTv2.

Förbereda en CORP-arbetsstation och -resursPrepare a CORP workstation and resource

Om du inte redan har kopplat en arbetsstationsdator till domänen följer du de här anvisningarna för hur du förbereder en.If you do not already have a workstation computer joined to the domain, follow these instructions to prepare one.

Anteckning

Om du redan har en arbetsstation kopplad till domänen går du vidare till Skapa en resurs i exempelsyfte.If you already have a workstation joined to the domain, skip to Create a resource for demonstration purposes.

Installera Windows 8.1 eller Windows 10 Enterprise som en virtuell datorInstall Windows 8.1 or Windows 10 Enterprise as a VM

På en annan virtuell dator utan installerad programvara installerar du Windows 8.1 Enterprise eller Windows 10 Enterprise om du vill göra en dator till CORPWKSTN.On another new virtual machine with no software installed, install Windows 8.1 Enterprise or Windows 10 Enterprise to make a computer CORPWKSTN.

  1. Använd standardinställningar under installationen.Use Express settings during installation.

  2. Observera att installationen kanske inte kan ansluta till internet.Note that the installation may not be able to connect to the Internet. Välj Skapa ett lokalt konto.Select Create a local account. Ange ett annat användarnamn. Använd inte "Administratör" eller "Lisa".Specify a different username; do not use “Administrator” or “Jen”.

  3. Använd kontrollpanelen till att ge datorn en statisk IP-adress på det virtuella nätverket och ange CORPDC-servern som gränssnittets prioriterade DNS-server.Using the Control Panel, give this computer a static IP address on the virtual network, and set the interface’s preferred DNS server to be that of the CORPDC server.

  4. Använd kontrollpanelen och domänanslut CORPWKSTN-datorn till domänen contoso.local.Using the Control Panel, domain join the CORPWKSTN computer to the contoso.local domain. Du måste ange autentiseringsuppgifterna för Contoso-domänens administratör.You will have to provide the Contoso domain administrator credentials. När det är klart startar du om datorn CORPWKSTN.Then when this completes, restart the computer CORPWKSTN.

Skapa en resurs i exempelsyfteCreate a resource for demonstration purposes

Du behöver en resurs för att visa säkerhetsgruppsbaserad åtkomst med PAM.You will need a resource for demonstrating the security group-based access control with PAM. Om du inte redan har en resurs kan du använda en filmapp i exempelsyfte.If you do not already have a resource, you can use a file folder for the purposes of demonstration. Här används AD-objekten "Lisa" och "CorpAdmins" som du skapade i domänen contoso.local.This will make use of the "Jen" and "CorpAdmins" AD objects you created in the contoso.local domain.

  1. Anslut till arbetsstationen CORPWKSTN.Connect to the workstation CORPWKSTN. Klicka på ikonen Växla användare och sedan på Annan användare.Click the Switch user icon, then Other user. Kontrollera att användaren CONTOSO\Lisa kan logga in på CORPWKSTN.Make sure that the user CONTOSO\Jen can log into CORPWKSTN.

  2. Skapa en ny mapp med namnet CorpFS och dela den med gruppen CorpAdmins.Create a new folder named CorpFS and share it with the CorpAdmins group.

  3. Öppna PowerShell som administratör.Open PowerShell as an administrator.

  4. Skriv in följande kommandon:Type the following commands.

    mkdir c:\corpfs
    
    New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins
    
    $acl = Get-Acl c:\corpfs
    
    $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")
    
    $acl.SetAccessRule($car)
    
    Set-Acl c:\corpfs $acl
    

I nästa steg förbereder du PRIV-domänkontrollanten.In the next step, you will prepare the PRIV domain controller.