Steg 7 – Utöka en användares behörighetStep 7 – Elevate a user’s access

I det här steget kontrollerar du att en användare kan begära åtkomst till en roll via MIM.This step demonstrates that a user can request access to a role via MIM.

Kontrollera att Lisa inte kan komma åt den privilegierade resursenVerify that Jen cannot access the privileged resource

Utan utökad behörighet kan Lisa inte komma åt den privilegierade resursen i CORP-skogen.Without elevated privileges, Jen cannot access the privileged resource in the CORP forest.

  1. Logga ut från CORPWKSTN för att ta bort eventuella cachelagrade öppna anslutningar.Sign out of CORPWKSTN to remove any cached open connections.
  2. Logga in på CORPWKSTN som CONTOSO\Lisa och växla till skrivbordsvyn.Sign in to CORPWKSTN as CONTOSO\Jen and switch to the Desktop view.
  3. Öppna en DOS-kommandotolk.Open a DOS command prompt.
  4. Skriv kommandot dir \\corpwkstn\corpfs.Type the command dir \\corpwkstn\corpfs. Felmeddelandet Åtkomst nekas bör visas.The error message Access is denied should appear.
  5. Lämna kommandotolken öppen.Leave the command prompt window open.

Begär privilegierad åtkomst från MIM.Request privileged access from MIM.

  1. Skriv följande kommando på CORPWKSTN, fortfarande som CONTOSO\Lisa.On CORPWKSTN, still as CONTOSO\Jen, type the following command.

    runas /user:Priv.Jen@priv.contoso.local powershell
    
  2. När du uppmanas anger du lösenordet för kontot PRIV.Lisa.When prompted, type the password for the PRIV.Jen account. Ett nytt kommandotolksfönster visas.A new command prompt window will appear.

  3. Skriv följande kommandon när PowerShell-fönstret visas.When the PowerShell window appears, type the following commands.

    Anteckning

    Alla steg som följer efter att du har kört kommandona måste utföras inom en viss tid.After you run these commands, all the following steps are time-sensitive.

    Import-module MIMPAM
    $r = Get-PAMRoleForRequest | ? { $_.DisplayName –eq "CorpAdmins" }
    New-PAMRequest –role $r
    klist purge
    
  4. När det är klart stänger du PowerShell-fönstret.After that completes, close the PowerShell window.

  5. I DOS-kommandofönstret skriver du följande kommandoIn the DOS command window, type the following command

    runas /user:Priv.Jen@priv.contoso.local powershell
    
  6. Ange lösenordet för kontot PRIV.Lisa.Type the password for the PRIV.Jen account. Ett nytt kommandotolksfönster visas.A new command prompt window will appear.

Validera den utökade behörigheten.Validate the elevated access.

I fönstret som öppnats skriver du följande kommandon.In the newly opened window, type the following commands.

whoami /groups
dir \\corpwkstn\corpfs

Om kommandot dir misslyckas med felmeddelandet Åtkomst nekas, kontrollerar du förtroenderelationen igen.If the dir command fails with the error message Access is denied, re-check the trust relationship.

Aktivera den privilegierade rollenActivate the privileged role

Aktivera på begäran privilegierad åtkomst via PAM-exempelportalen.Activate by requesting privileged access via the PAM sample portal.

  1. Kontrollera att du är inloggad som CORP\Lisa på CORPWKSTN.On CORPWKSTN, make sure that you are signed in as CORP\Jen.
  2. Skriv följande kommando i DOS-kommandofönstret.Type the following command in a DOS command window.

    runas /user:Priv.Jen@priv.contoso.local "c:\program files\Internet Explorer\iexplore.exe"
    
  3. När du uppmanas anger du lösenordet för kontot PRIV.Lisa.When prompted, type the password for the PRIV.Jen account. Ett nytt webbläsarfönster visas.A new web browser window will appear.

  4. Gå till http://pamsrv.priv.contoso.local:8090 och kontrollera att en webbsida från exempelportalen visas.Navigate to http://pamsrv.priv.contoso.local:8090 and ensure that a web page from the sample portal is visible.
  5. I Internet Explorer väljer du Verktyg > Internetalternativ och klicka på fliken Säkerhet.In Internet Explorer, select Tools > Internet Options and click the Security tab.
  6. Klicka på Zonen Lokalt nätverk > Platser > Avancerat och lägg till webbplatsen i zonen.Click on the Local intranet zone > Sites > Advanced then add the website to the zone.
  7. Stäng dialogrutan Internetalternativ.Close the Internet Options dialogs.
  8. På den vänstra fliken klickar du på Aktivera.On the left tab, click Activate. Välj PAM-roll och klicka på Aktivera.Select the PAM role and then click Activate.
Anteckning

I den här miljön kan du också lära dig hur du utvecklar program som använder PAM REST API, som beskrivs i referensen för Privileged Access Management REST API.In this environment, you can also learn how to develop applications which use the PAM REST API, described in the Privileged Access Management REST API Reference.

SammanfattningSummary

När du har slutfört stegen i den här genomgången kommer du att ha genomfört ett scenario för privilegierad åtkomsthantering. I det utökas användarens behörighet under en begränsad tid så att användaren kommer åt skyddade resurser med ett separat privilegierat konto.Once you have completed the steps in this walkthrough, you will have demonstrated a Privileged Access Management scenario, in which user privileges are elevated for a limited amount of time, allowing the user to access protected resources with a separate privileged account. När den utökade sessionen upphör kommer det privilegierade kontot inte längre åt den skyddade resursen.As soon as the elevation session expires, the privileged account can no longer access the protected resource. PAM-administratören koordinerar beslutet om vilka säkerhetsgrupper som representerar privilegierade roller.The decision of which security groups represent privileged roles is coordinated by the PAM administrator. När åtkomstbehörigheten har migrerats till Privileged Access Management-systemet, blir åtkomst som tidigare var möjlig med det ursprungliga användarkontot endast möjlig genom att logga in med ett särskilt privilegierat konto och görs tillgänglig på begäran.Once access rights are migrated to the Privileged Access Management system, access that was previously possible with the original user account is now made possible only by signing in with a special privileged account, and made available upon request. Gruppmedlemskap för mycket privilegierade grupper gäller därför bara under en begränsad tid.As a result, group memberships for highly privileged groups are effective for a limited amount of time.