Steg 2 – Förbereda den första PRIV-domänkontrollanten

« Steg 1Steg 3 »

I det här steget skapar du en ny domän som tillhandahåller skyddsmiljön för administratörsautentisering. Den här skogen behöver minst en domänkontrollant, en medlemsarbetsstation och minst en medlemsserver. Medlemsservern konfigureras i nästa steg.

Skapa en ny domänkontrollant för Privileged Access Management

I det här avsnittet konfigurerar du en virtuell dator för att fungera som domänkontrollant för en ny skog.

Installera Windows Server 2016 eller senare

På en annan ny virtuell dator utan installerad programvara installerar du Windows Server 2016 eller senare för att göra datorn till "PRIVDC".

1. Välj att utföra en anpassad (inte uppgraderad) installation av Windows Server. När du installerar anger du Windows Server 2016 (Server med skrivbordsmiljö); välj inteDatacenter eller Server Core.

2. Granska och godkänn licensvillkoren.

3. Eftersom disken kommer att vara tom väljer du Anpassad: Installera endast Windows och använd det oinitierade diskutrymmet.

4. När du har installerat operativsystemsversionen, loggar du in på den nya datorn som den nya administratören. Använd Kontrollpanelen för att ange datornamnet till PRIVDC. I nätverksinställningar ger du den en statisk IP-adress i det virtuella nätverket och konfigurerar DNS-servern så att den är den domänkontrollant som installerades i föregående steg. Du måste starta om servern.

5. När servern har startats om loggar du in som administratör. Använd kontrollpanelen till att konfigurera datorn att söka efter uppdateringar och installera de uppdateringar som krävs. Installation av uppdateringar kan kräva en omstart av servern.

Lägga till roller

Lägg till roller för Active Directory Domain Services (AD DS) och DNS-server.

1. Starta PowerShell som administratör.

2. Skriv följande kommandon för att förbereda installationen av Windows Server Active Directory.

   import-module ServerManager
   
   Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
   

Konfigurera registerinställningar för migrering av SID-historik

Starta PowerShell och skriv följande kommandon för att konfigurera källdomänen att tillåta RPC-åtkomst (Remote Procedure Call) till databasen för hanteraren för kontosäkerhet (SAM).

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Skapa en ny skog för Privileged Access Management

Uppgradera sedan servern till domänkontrollant för en ny skog.

I den här guiden används namnet priv.contoso.local som domännamn för den nya skogen. Namnet på skogen är inte kritiskt och behöver inte vara underordnat ett befintligt skogsnamn i organisationen. Både domän- och NetBIOS-namnet för den nya skogen måste dock vara unika och skilja sig från andra domännamn i organisationen.

Skapa en domän och en skog

1. Skapa den nya domänen genom att skriva följande kommandon i ett PowerShell-fönster. Dessa kommandon skapar också en DNS-delegering i en överordnad domän (contoso.local), som skapades i ett tidigare steg. Om du vill konfigurera DNS senare kan du utelämna parametrarna CreateDNSDelegation -DNSDelegationCredential $ca.

   $ca= get-credential
   Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca
   

2. När popup-fönstret visas för att konfigurera DNS-delegering anger du autentiseringsuppgifterna för CORP-skogsadministratören, som i den här guiden var användarnamnet CONTOSO\Administrator och motsvarande lösenord från steg 1.

3. En uppmaning visas i PowerShell-fönstret om att du ska ange ett administratörslösenord för säkert läge. Ange ett nytt lösenord två gånger. Varningsmeddelanden för DNS-delegering och kryptografiinställningar visas. Det är normalt.

När skogen har skapats startas servern om automatiskt.

Skapa användar- och tjänstkonton

Skapa användar- och tjänstkonton för konfiguration av MIM-tjänsten och -portalen. Dessa konton hamnar i containern Användare i domänen priv.contoso.local.

1. När servern har startats om loggar du in på PRIVDC som domänadministratör (PRIV\Administratör).

2. Starta PowerShell och skriv följande kommandon. Lösenordet 'Pass@word1' är bara ett exempel och du bör använda ett annat lösenord för konton.

   import-module activedirectory
   
   $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   New-ADUser –SamAccountName MIMMA –name MIMMA
   
   Set-ADAccountPassword –identity MIMMA –NewPassword $sp
   
   Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor
   
   Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp
   
   Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent
   
   Set-ADAccountPassword –identity MIMComponent –NewPassword $sp
   
   Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMSync –name MIMSync
   
   Set-ADAccountPassword –identity MIMSync –NewPassword $sp
   
   Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMService –name MIMService
   
   Set-ADAccountPassword –identity MIMService –NewPassword $sp
   
   Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName SharePoint –name SharePoint
   
   Set-ADAccountPassword –identity SharePoint –NewPassword $sp
   
   Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName SqlServer –name SqlServer
   
   Set-ADAccountPassword –identity SqlServer –NewPassword $sp
   
   Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
   
   Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
   
   Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
   
   New-ADUser -SamAccountName MIMAdmin -name MIMAdmin
   
   Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp
   
   Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1
   
   Add-ADGroupMember "Domain Admins" SharePoint
   
   Add-ADGroupMember "Domain Admins" MIMService
   

Konfigurera rättigheter för granskning och inloggning

Du måste ställa in granskning för att PAM-konfigurationen ska upprättas mellan skogar.

1. Kontrollera att du är inloggad som domänadministratör (PRIV\Administratör).

2. Gå till Starta>Administrationsverktyg>för Windows grupprincip hantering.

3. Gå till Skog: priv.contoso.local>Domäner>priv.contoso.local>Domänkontrollanter>Standardprincip för domänkontrollanter. En varning visas.

4. Högerklicka på Standardprincip för domänkontrollanter och välj Redigera.

5. I konsolträdet för grupprincip-hanteringsredigeraren går du till Datorkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Granskningsprincipför lokala principer>.

6. Högerklicka på Granska kontohantering i informationsfönstret och välj Egenskaper. Klicka på Definiera följande principinställningar, markera kryssrutorna Lyckade och Misslyckade, klicka på Tillämpa och på OK.

7. Högerklicka på Granska katalogtjänståtkomst i informationsfönstret och välj Egenskaper. Klicka på Definiera följande principinställningar, markera kryssrutorna Lyckade och Misslyckade, klicka på Tillämpa och på OK.

8. Gå till Datorkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Kontoprinciper>Kerberos-princip.

9. I informationsfönstret högerklickar du på Högsta livstid för användarbiljett och väljer Egenskaper. Klicka på Definiera följande principinställningar ange antalet timmar till 1, klicka på Tillämpa och på OK. Obs! Andra inställningar i fönstret ändras också.

10. I fönstret Grupprinciphantering väljer du på Standarddomänprincip och högerklickar och väljer Redigera.

11. Expandera Datorkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Lokala principer och välj Tilldelning av användarrättigheter.

12. Högerklicka på Neka inloggning som batchjobb i informationsfönstret och välj Egenskaper.

13. Markera kryssrutan Definiera dessa principinställningar , klicka på Lägg till användare eller grupp. I fältet Användar- och gruppnamn skriver du priv\mimmonitor; priv\MIMService; priv\mimcomponent och klickar på OK.

14. Stäng fönstret genom att klicka på OK.

15. Högerklicka på Neka inloggning via Fjärrskrivbordstjänster i informationsfönstret och välj Egenskaper.

16. Klicka på kryssrutan Definiera dessa principinställningar , klicka på Lägg till användare eller grupp. I fältet Användar- och gruppnamn skriver du priv\mimmonitor; priv\MIMService; priv\mimcomponent och klickar på OK.

17. Stäng fönstret genom att klicka på OK.

18. Stäng fönstren Redigeraren Grupprinciphantering och Grupprinciphantering.

19. Öppna ett PowerShell-fönster som administratör och skriv följande kommando för att uppdatera domänkontrollanten i inställningarna för grupprincipen.

    gpupdate /force /target:computer
    

    Efter en minut slutförs meddelandet "Uppdateringen av datorprincipen har slutförts".

Konfigurera vidarebefordran av DNS-namn på PRIVDC

Med PowerShell på PRIVDC konfigurerar du vidarebefordran av DNS-namn så att PRIV-domänen kan upptäcka andra befintliga skogar.

1. Starta PowerShell.

2. Skriv följande kommando för varje domän överst i varje befintlig skog. I det kommandot anger du den befintliga DNS-domänen (till exempel contoso.local) och IP-adresserna för domänens primära DNS-servrar.

   Om du skapade en domän contoso.local i föregående steg med 10.1.1.31 som IP-adress anger du 10.1.1.31 för CORPDC-datorns VIRTUELLA nätverks-IP-adress.

   Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
   

Anteckning

De andra skogarna måste också kunna vidarebefordra DNS-frågor för PRIV-skogen till den här domänkontrollanten. Om du har flera befintliga Active Directory-skogar måste du också lägga till en villkorlig DNS-vidarebefordrare för var och en av dessa skogar.

Konfigurera Kerberos

1. Med PowerShell lägger du till SPN-namn så att SharePoint, PAM REST-API:t och MIM-tjänsten kan använda Kerberos-autentisering.

   setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
   setspn -S http/pamsrv PRIV\SharePoint
   setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
   setspn -S FIMService/pamsrv PRIV\MIMService
   

Anteckning

I nästa steg i det här dokumentet beskrivs hur du installerar MIM 2016 serverkomponenter på en enskild dator. Om du vill lägga till en annan server för hög tillgänglighet behöver du ytterligare Kerberos-konfigurationen enligt beskrivningen i FIM 2010: Konfiguration av Kerberos-autentisering.

Konfigurera tilldelning för att ge åtkomst till MIM-tjänstkonton

Utför följande steg på PRIVDC som domänadministratör.

1. Starta Active Directory – användare och datorer.

2. Högerklicka på domänen priv.contoso.local och välj Delegera kontroll.

3. På fliken Valda användare och grupper klickar du på Lägg till.

4. I fönstret Välj användare, datorer eller grupper skriver mimcomponent; mimmonitor; mimservice du och klickar på Kontrollera namn. När namnen är understrukna klickar du på OK och sedan på Nästa.

5. I listan med vanliga aktiviteter väljer du Skapa, ta bort och hantera användarkonton och Ändra medlemskap för en grupp och klickar på Nästa och Slutför.

6. Högerklicka på domänen priv.contoso.local och välj Delegera kontroll.

7. På fliken Valda användare och grupper klickar du på Lägg till.

8. I fönstret Välj användare, datorer eller grupper anger du MIMAdmin och klickar på Kontrollera namn. När namnen är understrukna klickar du på OK och sedan på Nästa.

9. Välj anpassad aktivitet, tillämpa på den här mappen med allmänna behörigheter.

10. I listan med behörigheter väljer du följande behörigheter:

    • Läsa
    • Skriva
    • Skapa alla underordnade objekt
    • Ta bort alla underordnade objekt
    • Läsa alla egenskaper
    • Skriva alla egenskaper
    • Migrera SID-historik

11. Klicka på Nästa och sedan på Slutför.

12. Högerklicka på domänen priv.contoso.local och välj Delegera kontroll.

13. På fliken Valda användare och grupper klickar du på Lägg till.

14. I fönstret Välj användare, datorer eller grupper anger du MIMAdmin och klickar på Kontrollera namn. När namnen är understrukna klickar du på OK och sedan på Nästa.

15. Välj anpassad aktivitet, tillämpa på den här mappen och klicka på endast användarobjekt.

16. I listan med behörigheter väljer du Ändra lösenord och Återställ lösenord. Klicka sedan på Nästa och på Slutför.

17. Stäng Active Directory – användare och datorer.

18. Öppna en kommandotolk.

19. Granska åtkomstkontrollistan i objektet AdminSDHolder i PRIV-domänerna. Om din domän till exempel var "priv.contoso.local" skriver du kommandot:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"
    

20. Uppdatera åtkomstkontrollistan efter behov för att säkerställa att MIM-tjänsten och MIM PAM-komponenttjänsten kan uppdatera medlemskap i grupper som skyddas av den här ACL:en. Skriv kommandot:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
    

Konfigurera PAM i Windows Server 2016

Auktorisera sedan MIM-administratörerna och MIM-tjänstkontot för att skapa och uppdatera skugghuvudkonton.

1. Aktivera funktionerna för privileged access management i Windows Server 2016 Active Directory finns och aktiveras i PRIV-skogen. Starta ett PowerShell-fönster som administratör och skriv följande kommandon.

   $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
   Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"
   

2. Starta ett PowerShell-fönster och skriv ADSIEdit.

3. I menyn Åtgärder klickar du på ”Anslut till”. Ändra namngivningskontexten från ”Standardbaserad namngivningskontext” till ”Configuration” i inställningen Anslutning och klicka på OK.

4. Expandera noden Configuration att se när du har anslutit till vänster i fönstret nedanför ”ADSI-redigering” för att visa ”CN = Configuration, DC = priv,...”. Expandera CN = Configuration och expandera sedan CN = Services.

5. Högerklicka på ”CN = Shadow Principal Configuration” och klicka på Egenskaper. Gå till säkerhetsfliken när dialogrutan Egenskaper visas.

6. Klicka på Add (Lägg till). Ange kontona ”MIMService”, samt andra MIM-administratörer som senare kommer att utföra New-PAMGroup för att skapa ytterligare PAM-grupper. För varje användare i behörighetslistan över tillåtna lägger du till ”Skriva”, ”Skapa alla underordnade objekt” och ”Ta bort alla underordnade objekt”. Lägg till behörigheterna.

7. Ändra till avancerade säkerhetsinställningar. På raden som tillåter MIMService-åtkomst klickar du på Redigera. Ändra inställningen ”Gäller” till ”För det här objektet och alla underordnade objekt”. Uppdatera behörighetsinställningen och stäng dialogrutan säkerhet.

8. Stäng ADSI-redigering.

9. Ge sedan MIM-administratörerna behörighet att skapa och uppdatera autentiseringsprincipen. Starta en upphöjd kommandotolk, skriv följande kommandon och ersätt namnet på ditt MIM-administratörskonto med ”mimadmin” på var och en av de fyra raderna:

   dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s
   
   dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy
   
   dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s
   
   dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
   

10. Starta om PRIVDC-servern så att ändringarna träder ikraft.

Förbereda en PRIV arbetsstation

Följ de här anvisningarna för att förbereda en arbetsstation. Den här arbetsstationen ansluts till PRIV-domänen för underhåll av PRIV-resurser (till exempel MIM).

Installera Windows 10 Enterprise

Installera Windows 10 Enterprise för att göra datorn till "PRIVWKSTN" på en annan ny virtuell dator utan någon programvara installerad.

1. Använd standardinställningar under installationen.

2. Observera att installationen kanske inte kan ansluta till internet. Klicka på Skapa ett lokalt konto. Ange ett annat användarnamn. Använd inte "Administratör" eller "Lisa".

3. Använd kontrollpanelen till att ge datorn en statisk IP-adress på det virtuella nätverket och ange PRIVDC-servern som gränssnittets prioriterade DNS-server.

4. Använd kontrollpanelen och domänanslut PRIVWKSTN-datorn till domänen priv.contoso.local. Det här steget kräver att du anger autentiseringsuppgifterna för PRIV-domänadministratören. När det är klart startar du om datorn PRIVWKSTN.

5. Installera Visual C++ 2013 Redistributable Packages för 64-bitars Windows.

Mer information finns i Skydda arbetsstationer med privilegierad åtkomst.

I nästa steg förbereder du en PAM-server.

« Steg 1Steg 3 »