Steg 2 – Förbereda den första PRIV-domänkontrollantenStep 2 - Prepare the first PRIV domain controller

I det här steget ska du skapa en ny domän som tillhandahåller skyddsmiljön för autentisering av administratörer.In this step you will create a new domain that will provide the bastion environment for administrator authentication. Den här skogen måste ha minst en domänkontrollant och minst en medlemsserver.This forest will need at least one domain controller, and at least one member server. Medlemsservern konfigureras i nästa steg.The member server will be configured in the next step.

Skapa en ny domänkontrollant för Privileged Access ManagementCreate a new Privileged Access Management domain controller

I det här avsnittet konfigurerar du en virtuell dator som ska fungera som en domänkontrollant för en ny skogIn this section you will set up a virtual machine to act as a domain controller for a new forest

Installera Windows Server 2012 R2Install Windows Server 2012 R2

Installera Windows Server 2012 R2 för att göra en dator "PRIVDC" på en annan ny virtuell dator utan någon programvara installerad.On another new virtual machine with no software installed, install Windows Server 2012 R2 to make a computer “PRIVDC”.

  1. Välj att utföra en anpassad (inte uppgraderad) installation av Windows Server.Select to perform a custom (not upgrade) install of Windows Server. Vid installationen anger du Windows Server 2012 R2 Standard (server med GUI) x64. Välj inte Datacenter eller Server Core.When installing, specify Windows Server 2012 R2 Standard (Server with a GUI) x64; do not select Data Center or Server Core.

  2. Granska och godkänn licensvillkoren.Review and accept the license terms.

  3. Eftersom disken är tom markerar du Anpassad: Installera bara Windows och använd diskutrymmet som inte initierats.Since the disk will be empty, select Custom: Install Windows only and use the uninitialized disk space.

  4. När du har installerat operativsystemsversionen, loggar du in på den nya datorn som den nya administratören.After installing the operating system version, sign in to this new computer as the new administrator. Använd kontrollpanelen till att ge datorn namnet PRIVDC, ge den en statisk IP-adress på det virtuella nätverket och konfigurera DNS-servern som den för domänkontrollanten som installerades i föregående steg.Use Control Panel to set the computer name to PRIVDC, give it a static IP address on the virtual network, and configure the DNS server to be that of the domain controller installed in the previous step. Detta kräver en omstart av servern.This will require a server restart.

  5. När servern har startats om loggar du in som administratör.After the server has restarted, sign in as the administrator. Använd kontrollpanelen till att konfigurera datorn att söka efter uppdateringar och installera de uppdateringar som krävs.Using Control Panel, configure the computer to check for updates, and install any updates needed. Du kan behöva starta om servern.This may require a server restart.

Lägga till rollerAdd roles

Lägg till roller för Active Directory Domain Services (AD DS) och DNS-server.Add the Active Directory Domain Services (AD DS) and DNS Server roles.

  1. Starta PowerShell som administratör.Launch PowerShell as an administrator.

  2. Skriv följande kommandon för att förbereda installationen av Windows Server Active Directory.Type the following commands to prepare for a Windows Server Active Directory installation.

    import-module ServerManager
    
    Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
    

Konfigurera registerinställningar för migrering av SID-historikConfigure registry settings for SID History migration

Starta PowerShell och skriv följande kommandon för att konfigurera källdomänen att tillåta RPC-åtkomst (Remote Procedure Call) till databasen för hanteraren för kontosäkerhet (SAM).Launch PowerShell and type the following command to configure the source domain to permit remote procedure call (RPC) access to the security accounts manager (SAM) database.

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Skapa en ny skog för Privileged Access ManagementCreate a new Privileged Access Management forest

Uppgradera sedan servern till domänkontrollant för en ny skog.Next, promote the server to a domain controller of a new forest.

I det här dokumentet används namnet priv.contoso.local som domännamn för den nya skogen.In this document, the name priv.contoso.local is used as the domain name of the new forest. Namnet på skogen är inte viktigt och behöver inte vara underordnat namnet på en befintlig skog i organisationen.The name of the forest is not critical, and it does not need to be subordinate to an existing forest name in the organization. Både domän- och NetBIOS-namnet för den nya skogen måste dock vara unika och skilja sig från andra domännamn i organisationen.However, both the domain and NetBIOS names of the new forest must be unique and distinct from that of any other domain in the organization.

Skapa en domän och en skogCreate a domain and forest

  1. Skapa den nya domänen genom att skriva följande kommandon i ett PowerShell-fönster.In a PowerShell window, type the following commands to create the new domain. När du gör det skapas också en DNS-delegering i den överordnade domän (contoso.local) som skapades i föregående steg.This will also create a DNS delegation in a superior domain (contoso.local) which was created in a previous step. Om du vill konfigurera DNS senare kan du utelämna parametrarna CreateDNSDelegation -DNSDelegationCredential $ca.If you intend to configure DNS later, then omit the CreateDNSDelegation -DNSDelegationCredential $ca parameters.

    $ca= get-credential
    Install-ADDSForest –DomainMode 6 –ForestMode 6 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca
    
  2. När popup-meddelandet visas anger du autentiseringsuppgifterna för CORP-skogens administratör (t.ex. användarnamnet CONTOSO\Administratör och motsvarande lösenord från steg 1).When the popup appears, provide the credentials for the CORP forest administrator (e.g., the username CONTOSO\Administrator and the corresponding password from step 1).

  3. En uppmaning visas i PowerShell-fönstret om att du ska ange ett administratörslösenord för säkert läge.The PowerShell window will prompt you for a Safe Mode Administrator Password to use. Ange ett nytt lösenord två gånger.Enter a new password twice. Varningsmeddelanden för DNS-delegering och kryptografiinställningar visas. Det är normalt.Warning messages for DNS delegation and cryptography settings will appear; these are normal.

När skogen har skapats startas servern om automatiskt.After the forest creation is complete, the server will restart automatically.

Skapa användar- och tjänstkontonCreate user and service accounts

Skapa användar- och tjänstkonton för konfiguration av MIM-tjänsten och -portalen.Create the user and service accounts for MIM Service and Portal setup. Dessa konton hamnar i behållaren Användare i domänen priv.contoso.local.These accounts will go in the Users container of the priv.contoso.local domain.

  1. När servern har startats om loggar du in på PRIVDC som domänadministratör (PRIV\Administrator).After the server restarts, sign in to PRIVDC as the domain administrator (PRIV\Administrator).

  2. Starta PowerShell och skriv följande kommandon.Launch PowerShell and type the following commands. Lösenordet 'Pass@word1' är bara ett exempel och du bör använda ett annat lösenord för konton.The password 'Pass@word1' is just an example and you should use a different password for the accounts.

    import-module activedirectory
    
    $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    
    New-ADUser –SamAccountName MIMMA –name MIMMA
    
    Set-ADAccountPassword –identity MIMMA –NewPassword $sp
    
    Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor
    
    Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp
    
    Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent
    
    Set-ADAccountPassword –identity MIMComponent –NewPassword $sp
    
    Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName MIMSync –name MIMSync
    
    Set-ADAccountPassword –identity MIMSync –NewPassword $sp
    
    Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName MIMService –name MIMService
    
    Set-ADAccountPassword –identity MIMService –NewPassword $sp
    
    Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName SharePoint –name SharePoint
    
    Set-ADAccountPassword –identity SharePoint –NewPassword $sp
    
    Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName SqlServer –name SqlServer
    
    Set-ADAccountPassword –identity SqlServer –NewPassword $sp
    
    Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
    
    New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
    
    Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
    
    Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
    
    New-ADUser -SamAccountName MIMAdmin -name MIMAdmin
    
    Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp
    
    Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1
    
    Add-ADGroupMember "Domain Admins" SharePoint
    
    Add-ADGroupMember "Domain Admins" MIMService
    

Konfigurera rättigheter för granskning och inloggningConfigure auditing and logon rights

Du måste ställa in granskning för att PAM-konfigurationen ska upprättas mellan skogar.You need to set up auditing in order for the PAM configuration to be established across forests.

  1. Kontrollera att du är inloggad som domänadministratör (PRIV\Administrator).Make sure you are signed in as the domain administrator (PRIV\Administrator).

  2. Gå till Start > Administrationsverktyg > Grupprinciphantering.Go to Start > Administrative Tools > Group Policy Management.

  3. Gå till Skog: priv.contoso.local > Domäner > priv.contoso.local > Domänkontrollanter > Standardprincip för domänkontrollanter.Navigate to Forest: priv.contoso.local > Domains > priv.contoso.local > Domain Controllers > Default Domain Controllers Policy. En varning visas.A warning message will appear.

  4. Högerklicka på Standardprincip för domänkontrollanter och välj Redigera.Right-click on Default Domain Controllers Policy and select Edit.

  5. I fönstret Redigeraren Grupprinciphantering går du till Datorkonfiguration > Principer > Windows-inställningar > Säkerhetsinställningar > Lokala principer > Granskningsprincip.In the Group Policy Management Editor console tree, navigate to Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy.

  6. Högerklicka på Granska kontohantering i informationsfönstret och välj Egenskaper.In the Details pane, right-click on Audit account management and select Properties. Klicka på Definiera följande principinställningar, markera kryssrutorna Lyckade och Misslyckade, klicka på Tillämpa och på OK.Click Define these policy settings, check the Success checkbox, check the Failure checkbox, click Apply and then OK.

  7. Högerklicka på Granska katalogtjänståtkomst i informationsfönstret och välj Egenskaper.In the Details pane, right-click on Audit directory service access and select Properties. Klicka på Definiera följande principinställningar, markera kryssrutorna Lyckade och Misslyckade, klicka på Tillämpa och på OK.Click Define these policy settings, check the Success checkbox, check the Failure checkbox, click Apply and then OK.

  8. Gå till Datorkonfiguration > Principer > Windows-inställningar > Säkerhetsinställningar > Konto principer > Kerberos-princip.Navigate to Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Kerberos Policy.

  9. I informationsfönstret högerklickar du på Högsta livstid för användarbiljett och väljer Egenskaper.In the Details pane, right-click on Maximum lifetime for user ticket and select Properties. Klicka på Definiera följande principinställningar ange antalet timmar till 1, klicka på Tillämpa och på OK.Click Define these policy settings, set the number of hours to 1, click Apply and then OK. Obs! Andra inställningar i fönstret ändras också.Note that other settings in the window will also change.

  10. I fönstret Grupprinciphantering väljer du på Standarddomänprincip och högerklickar och väljer Redigera.In the Group Policy Management window, select Default Domain Policy, right-click and select Edit.

  11. Visa Datorkonfiguration > Principer > Windows-inställningar > Säkerhetsinställningar > Lokala principer och välj Tilldelning av användarrättigheter.Expand Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies and select User Rights Assignment.

  12. Högerklicka på Neka inloggning som batchjobb i informationsfönstret och välj Egenskaper.On the Details pane, right-click on Deny log on as a batch job and select Properties.

  13. Markera kryssrutan Definiera följande principinställningar och klicka på Lägg till användare eller grupp. I fältet Användar- och gruppnamn skriver du priv\mimmonitor; priv\MIMService; priv\mimcomponent och klickar på OK.Check the Define these Policies Settings checkbox, click Add User or Group, and in the User and group names field, type priv\mimmonitor; priv\MIMService; priv\mimcomponent and click OK.

  14. Stäng fönstret genom att klicka på OK.Click OK to close the window.

  15. Högerklicka på Neka inloggning via Fjärrskrivbordstjänster i informationsfönstret och välj Egenskaper.On the Details pane, right-click on Deny log on through Remote Desktop Services and select Properties.

  16. Klicka på kryssrutan Definiera följande principinställningar och klicka på Lägg till användare eller grupp. I fältet Användar- och gruppnamn skriver du priv\mimmonitor; priv\MIMService; priv\mimcomponent och klickar på OK.Click the Define these Policies Settings checkbox, click Add User or Group, and in the User and group names field, type priv\mimmonitor; priv\MIMService; priv\mimcomponent and click OK.

  17. Stäng fönstret genom att klicka på OK.Click OK to close the window.

  18. Stäng fönstren Redigeraren Grupprinciphantering och Grupprinciphantering.Close the Group Policy Management Editor window and the Group Policy Management window.

  19. Öppna ett PowerShell-fönster som administratör och skriv följande kommando för att uppdatera domänkontrollanten i inställningarna för grupprincipen.Launch a PowerShell window as administrator and type the following command to update the DC from the group policy settings.

    gpupdate /force /target:computer
    

    Efter en minut slutförs uppdateringen med meddelandet ”Uppdatering av grupprincip har slutförts”.After a minute, it will complete with the message “Computer Policy update has completed successfully.”

Konfigurera vidarebefordran av DNS-namn på PRIVDCConfigure DNS name forwarding on PRIVDC

Med PowerShell på PRIVDC konfigurerar du vidarebefordran av DNS-namn så att PRIV-domänen kan upptäcka andra befintliga skogar.Using PowerShell on PRIVDC, configure DNS name forwarding in order for the PRIV domain to recognize other existing forests.

  1. Starta PowerShell.Launch PowerShell.

  2. För varje domän som ligger högst upp i varje befintlig skog skriver du följande kommando, anger den befintliga DNS-domänen (t.ex. contoso.local) och IP-adressen för domänens huvudserver.For each domain at the top of each existing forest, type the following command, specifying the existing DNS domain (e.g., contoso.local), and the IP address of the master server of that domain.

    Om du har skapat en contoso.local-domän i det föregående steget, anger du 10.1.1.31 som IP-adress för CORPDC-datorns virtuella nätverk.If you created one domain contoso.local in the previous step, then specify 10.1.1.31 for the CORPDC computer’s virtual network IP address.

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
    
Anteckning

De andra skogarna måste också kunna vidarebefordra DNS-frågor för PRIV-skogen till den här domänkontrollanten.The other forests must also be able to route DNS queries for the PRIV forest to this domain controller. Om du har flera befintliga Active Directory-skogar måste du också lägga till en villkorlig DNS-vidarebefordrare för var och en av dessa skogar.If you have multiple existing Active Directory forests, then you must also add a DNS conditional forwarder to each of those forests.

Konfigurera KerberosConfigure Kerberos

  1. Med PowerShell lägger du till SPN-namn så att SharePoint, PAM REST-API:t och MIM-tjänsten kan använda Kerberos-autentisering.Using PowerShell, add SPNs so that SharePoint, PAM REST API, and the MIM Service can use Kerberos authentication.

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
    setspn -S http/pamsrv PRIV\SharePoint
    setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
    setspn -S FIMService/pamsrv PRIV\MIMService
    
Anteckning

I nästa steg i det här dokumentet beskrivs hur du installerar MIM 2016 serverkomponenter på en enskild dator.The next steps of this document describe how to install MIM 2016 server components on a single computer. Om du vill lägga till en annan server för hög tillgänglighet behöver du ytterligare Kerberos-konfigurationen enligt beskrivningen i FIM 2010: Konfiguration av Kerberos-autentisering.If you plan to add another server for high availability, then you will need additional Kerberos configuration as described in FIM 2010: Kerberos Authentication Setup.

Konfigurera tilldelning för att ge åtkomst till MIM-tjänstkontonConfigure delegation to give MIM service accounts access

Utför följande steg på PRIVDC som domänadministratör.Perform the following steps on PRIVDC as a domain administrator.

  1. Starta Active Directory – användare och datorer.Launch Active Directory Users and Computers.
  2. Högerklicka på domänen priv.contoso.local och välj Delegera kontroll.Right-click on the domain priv.contoso.local and select Delegate Control.
  3. På fliken Valda användare och grupper klickar du på Lägg till.On the Selected Users and Groups tab, click Add.
  4. I fönstret Välj användare, datorer eller grupper skriver du mimcomponent; mimmonitor; mimservice och klickar på Kontrollera namn.On the Select Users, Computers, or Groups window, type mimcomponent; mimmonitor; mimservice and click Check Names. När namnen är understrukna klickar du på OK och sedan på Nästa.After the names are underlined, click OK then Next.
  5. I listan med vanliga aktiviteter väljer du Skapa, ta bort och hantera användarkonton och Ändra medlemskap för en grupp och klickar på Nästa och Slutför.In the list of common tasks, select Create, delete, and manage user accounts and Modify the membership of a group, then click Next and Finish.

  6. Högerklicka på domänen priv.contoso.local och välj Delegera kontroll.Again, right click on domain priv.contoso.local and select Delegate Control.

  7. På fliken Valda användare och grupper klickar du på Lägg till.On the Selected Users and Groups tab, click Add.
  8. I fönstret Välj användare, datorer eller grupper anger du MIMAdmin och klickar på Kontrollera namn.On the Select Users, Computers, or Groups window, enter MIMAdmin and click Check Names. När namnen är understrukna klickar du på OK och sedan på Nästa.After the names are underlined, click OK then Next.
  9. Välj anpassad aktivitet, tillämpa på den här mappen med allmänna behörigheter.Select custom task, apply to This folder, with General permissions.
  10. I listan med behörigheter väljer du följande:In the permissions list, select the following:

    • LäsaRead
    • SkrivaWrite
    • Skapa alla underordnade objektCreate all Child Objects
    • Ta bort alla underordnade objektDelete all Child Objects
    • Läsa alla egenskaperRead All Properties
    • Skriva alla egenskaperWrite All Properties
    • Migrera SID-historik klickar du på nästa sedan Slutför.Migrate SID History Click Next then Finish.
  11. Högerklicka på domänen priv.contoso.local och välj Delegera kontroll.Once more, right-click on the domain priv.contoso.local and select Delegate Control.

  12. På fliken Valda användare och grupper klickar du på Lägg till.On the Selected Users and Groups tab, click Add.
  13. I fönstret Välj användare, datorer eller grupper anger du MIMAdmin och klickar på Kontrollera namn.On the Select Users, Computers, or Groups window, enter MIMAdmin then click Check Names. När namnen är understrukna klickar du på OK och sedan på Nästa.After the names are underlined, click OK, then Next.
  14. Välj anpassad aktivitet, tillämpa på den här mappen och klicka på endast användarobjekt.Select custom task, apply to This folder, then click only User objects.
  15. I listan med behörigheter väljer du Ändra lösenord och Återställ lösenord.In the permissions list, select Change password and Reset password. Klicka sedan på Nästa och på Slutför.Then click Next and then Finish.
  16. Stäng Active Directory – användare och datorer.Close Active Directory Users and Computers.

  17. Öppna en kommandotolk.Open a command prompt.

  18. Granska åtkomstkontrollistan i objektet AdminSDHolder i PRIV-domänerna.Review the access control list on the Admin SD Holder object in the PRIV domains. Om domänen till exempel är "priv.contoso.local" skriver du kommandotFor example, if your domain was “priv.contoso.local”, type the command cmd dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"
  19. Uppdatera åtkomstkontrollistan vid behov för att säkerställa att MIM-tjänsten och MIM-komponenttjänsten kan uppdatera medlemskap i grupper som skyddas av denna ACL.Update the access control list as needed to ensure that MIM service and MIM component service can update memberships of groups protected by this ACL. Skriv kommandot:Type the command:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
  1. Starta om PRIVDC-servern så att ändringarna träder ikraft.Restart the PRIVDC server so that these changes take effect.

Förbereda en PRIV arbetsstationPrepare a PRIV workstation

Om du inte redan har en arbetsstationsdator som ska anslutas till PRIV-domänen för att utföra underhåll av PRIV-resurser (som MIM), följer du de här anvisningarna för hur du förbereder en arbetsstation.If you do not already have a workstation computer that will be joined to the PRIV domain for performing maintenance of PRIV resources (such as MIM), follow these instructions to prepare a workstation.

Installera Windows 8.1 eller Windows 10 EnterpriseInstall Windows 8.1 or Windows 10 Enterprise

På en annan virtuell dator utan installerad programvara installerar du Windows 8.1 Enterprise eller Windows 10 Enterprise om du vill göra en dator till PRIVWKSTN.On another new virtual machine with no software installed, install Windows 8.1 Enterprise or Windows 10 Enterprise to make a computer “PRIVWKSTN”.

  1. Använd standardinställningar under installationen.Use Express settings during installation.

  2. Observera att installationen kanske inte kan ansluta till internet.Note that the installation may not be able to connect to the Internet. Klicka på Skapa ett lokalt konto.Click to Create a local account. Ange ett annat användarnamn. Använd inte "Administratör" eller "Lisa".Specify a different username; do not use “Administrator” or “Jen”.

  3. Använd kontrollpanelen till att ge datorn en statisk IP-adress på det virtuella nätverket och ange PRIVDC-servern som gränssnittets prioriterade DNS-server.Using the Control Panel, give this computer a static IP address on the virtual network, and set the interface’s preferred DNS server to be that of the PRIVDC server.

  4. Använd kontrollpanelen och domänanslut PRIVWKSTN-datorn till domänen priv.contoso.local.Using the Control Panel, domain join the PRIVWKSTN computer to the priv.contoso.local domain. För det måste du tillhandahålla autentiseringsuppgifterna före PRIV-domänens administratör.This will require providing the PRIV domain administrator credentials. När det är klart startar du om datorn PRIVWKSTN.When this completes, restart the computer PRIVWKSTN.

Mer information finns i Skydda arbetsstationer med privilegierad åtkomst.If you want more details, see securing privileged access workstations.

I nästa steg ska du förbereda en PAM-server.In the next step, you will prepare a PAM server.