Steg 6 – Överföra en grupp till Privileged Access Management
Privilegierade konto skapas i PRIV-skogen med PowerShell-cmdletar. Dessa cmdletar utför följande funktioner:
- Skapa en ny grupp i PRIV-skogen med samma säkerhetsidentifierare (SID) som en grupp i CORP-skogen.
- Skapa ett objekt i MIM-tjänstens databas som motsvarar gruppen i PRIV-skogen.
- För varje användarkonto skapar du två objekt i MIM-tjänstens databas ett för användaren i CORP-skogen och ett för det nya användarkontot i PRIV-skogen.
- Skapa ett PAM-rollobjekt i MIM-tjänstens databas.
Du måste köra cmdletarna en gång för varje grupp och en gång för varje medlem i en grupp. Migrerings-cmdletarna ändrar inga användare eller grupper i CORP-skogen: PAM-administratören gör det manuellt senare.
Logga in på PAMSRV, antingen direkt eller från en PRIV-arbetsstation, som PRIV\MIMAdmin.
Starta PowerShell och skriv följande kommandon.
Import-Module MIMPAM
Import-Module ActiveDirectory
Skapa ett motsvarande användarkonto i PRIV för ett användarkonto i en befintlig skog i exempelsyfte.
Skriv följande kommandon i PowerShell. Om du inte använde namnet Lisa när du skapade användaren contoso.local tidigare, ändrar du parametrarna för kommandot efter behov. Lösenordet 'Pass@word1' är bara ett exempel och bör ändras till ett unikt lösenord.
$sj = New-PAMUser –SourceDomain CONTOSO.local –SourceAccountName Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity priv.Jen –NewPassword $jp Set-ADUser –identity priv.Jen –Enabled 1Kopiera en grupp och dess medlem, Lisa, från CONTOSO till PRIV-domänen, i exempelsyfte.
Kör följande kommandon och ange lösenordet för CORP-domänens administratör (CONTOSO\Administratör) när du uppmanas till det:
$ca = get-credential –UserName CONTOSO\Administrator –Message "CORP forest domain admin credentials" $pg = New-PAMGroup –SourceGroupName "CorpAdmins" –SourceDomain CONTOSO.local –SourceDC CORPDC.contoso.local –Credentials $ca $pr = New-PAMRole –DisplayName "CorpAdmins" –Privileges $pg –Candidates $sjKommandot New-PAMGroup innehåller följande parametrar:
- CORP-skogsdomännamnet i NetBIOS-formulär
- Namnet på den grupp som ska kopieras från domänen
- Corp-skogens domänkontrollant NetBIOS-namn
- Autentiseringsuppgifterna för en domänadministratörsanvändare i CORP-skogen
(Valfritt) Ta bort Lisas konto på CORPDC från gruppen CONTOSO CorpAdmins om det fortfarande finns kvar. Det här krävs bara för att visa hur behörigheter kan associeras med konton som skapats i PRIV-skogen.
Logga in på CORPDC som CONTOSO\Administratör.
Starta PowerShell, kör följande kommando och bekräfta ändringen.
Remove-ADGroupMember -identity "CorpAdmins" -Members "Jen"
Om du vill visa att åtkomstbehörigheter mellan skogar gäller för användarens administratörskonto fortsätter du till nästa steg.