Steg 6 – Överföra en grupp till Privileged Access ManagementStep 6 – Transition a group to Privileged Access Management

Privilegierade konto skapas i PRIV-skogen med PowerShell-cmdletar.Privileged account creation in the PRIV forest is done using PowerShell cmdlets. Dessa cmdletar utför följande funktioner:These cmdlets perform the following functions:

  • Skapa en ny grupp i PRIV-skogen med samma säkerhetsidentifierare (SID) som en grupp i CORP-skogen.Create a new group in the PRIV forest with the same Security Identifier (SID) as a group in the CORP forest.
  • Skapa ett objekt i MIM-tjänstens databas som motsvarar gruppen i PRIV-skogen.Create an object in the MIM Service database corresponding to the group in the PRIV forest.
  • För varje användarkonto skapar du två objekt i MIM-tjänstens databas ett för användaren i CORP-skogen och ett för det nya användarkontot i PRIV-skogen.For each user account, create two objects in the MIM Service database, corresponding to the user in the CORP forest and the new user account in the PRIV forest.
  • Skapa ett PAM-rollobjekt i MIM-tjänstens databas.Create a PAM Role object in the MIM Service database.

Du måste köra cmdletarna en gång för varje grupp och en gång för varje medlem i en grupp.The cmdlets need to be run once for each group, and once for each member of a group. Migrerings-cmdletarna ändrar inga användare eller grupper i CORP-skogen: PAM-administratören gör det manuellt senare.The migration cmdlets do not change or modify any user or groups in the CORP forest: the PAM administrator will do that manually afterwards.

  1. Logga in på PAMSRV, antingen direkt eller från en PRIV-arbetsstation, som PRIV\MIMAdmin.Sign in to PAMSRV, either directly or from a PRIV workstation, as PRIV\MIMAdmin.

  2. Starta PowerShell och skriv följande kommandon.Launch PowerShell, and type the following commands.

    Import-Module MIMPAM
    Import-Module ActiveDirectory
    
  3. Skapa ett motsvarande användarkonto i PRIV för ett användarkonto i en befintlig skog i exempelsyfte.Create a corresponding user account in PRIV for a user account in an existing forest, for demonstration purposes.

    Skriv följande kommandon i PowerShell.Type the following commands into PowerShell. Om du inte använde namnet Lisa när du skapade användaren contoso.local tidigare, ändrar du parametrarna för kommandot efter behov.If you did not use the name Jen to create the user in contoso.local earlier, then change the parameters of the command as appropriate. Lösenordet 'Pass@word1' är bara ett exempel och bör ändras till ett unikt lösenord.The password 'Pass@word1' is just an example and should be changed to a unique password value.

    $sj = New-PAMUser –SourceDomain CONTOSO.local –SourceAccountName Jen
    $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    Set-ADAccountPassword –identity priv.Jen –NewPassword $jp
    Set-ADUser –identity priv.Jen –Enabled 1
    
  4. Kopiera en grupp och dess medlem, Lisa, från CONTOSO till PRIV-domänen, i exempelsyfte.Copy a group and its member, Jen, from CONTOSO to PRIV domain, for demonstration purposes.

    Kör följande kommandon och ange lösenordet för CORP-domänens administratör (CONTOSO\Administratör) när du uppmanas till det:Run the following commands, specifying the CORP domain admin (CONTOSO\Administrator) password where prompted:

     ```
     $ca = get-credential –UserName CONTOSO\Administrator –Message "CORP forest domain admin credentials"
     $pg = New-PAMGroup –SourceGroupName "CorpAdmins" –SourceDomain CONTOSO.local                 –SourceDC CORPDC.contoso.local –Credentials $ca
     $pr = New-PAMRole –DisplayName "CorpAdmins" –Privileges $pg –Candidates $sj
     ```
    

    Kommandot New-PAMGroup innehåller följande parametrar:For reference, the New-PAMGroup command takes the following parameters:

     -   The CORP forest domain name in NetBIOS form  
     -   The name of the group to copy from that domain  
     -   The CORP forest Domain Controller NetBIOS name  
     -   The credentials of an domain admin user in the CORP forest  
    
  5. (Valfritt) Ta bort Lisas konto på CORPDC från gruppen CONTOSO CorpAdmins om det fortfarande finns kvar.(Optional) On CORPDC, remove Jen’s account from the CONTOSO CorpAdmins group, if it is still present. Det här krävs bara för att visa hur behörigheter kan associeras med konton som skapats i PRIV-skogen.This is only needed for demonstration purposes, to illustrate how permissions can be associated with accounts created in the PRIV forest.

    1. Logga in på CORPDC som CONTOSO\Administratör.Sign in to CORPDC as CONTOSO\Administrator.

    2. Starta PowerShell, kör följande kommando och bekräfta ändringen.Launch PowerShell, run the following command and confirm the change.

      Remove-ADGroupMember -identity "CorpAdmins" -Members "Jen"
      

Om du vill visa att åtkomstbehörigheter mellan skogar gäller för användarens administratörskonto fortsätter du till nästa steg.If you want to demonstrate that cross-forest access rights are effective for the user's administrator account, continue to the next step.