1. Adım - Konağı ve CORP etki alanını hazırlama
Bu adımda PAM tarafından yönetilecek ortamı barındırmaya hazırlayacaksınız. Gerekirse, yeni bir etki alanı ve ormanda ( CORP ormanı) bir etki alanı denetleyicisi ve üye iş istasyonu da oluşturacaksınız. Bu ormana erişim, bir sonraki adımda oluşturulmuş priv ormanı ile savunma ortamı tarafından yönetilecek kimliklerden olacaktır. Bu CORP ormanı, yönetilecek kaynakları olan mevcut ortamın benzetimini yapar. Bu belge, korunacak bir örnek kaynak, bir dosya paylaşımı içerir.
Zaten etki alanı yöneticisi olduğunuz Windows Server 2012 R2 veya sonraki bir sürümü çalıştıran bir etki alanı denetleyicisine sahip bir Active Directory (AD) etki alanınız varsa, bunun yerine bu etki alanını kullanabilir ve bu makaledeki "Grup oluşturma" bölümüne atlayabilirsiniz.
CORP etki alanı denetleyicisini hazırlama
Bu bölümde, CORP etki alanı için etki alanı denetleyicisinin nasıl ayarlanacağı açıklanır. CORP etki alanında, yönetim kullanıcıları savunma ortamı tarafından yönetilir. Bu örnekte kullanılan CORP etki alanının Etki Alanı Adı Sistemi (DNS) adı contoso.local’dır.
Windows Server’ı yükleme
CORPDC adlı bir bilgisayar oluşturmak için sanal makineye Windows Server 2016 veya sonraki bir sürümü yükleyin.
Windows Server 2016 (Masaüstü Deneyimi ile Sunucu) öğesini seçin.
Lisans koşullarını gözden geçirin ve kabul edin.
Disk boş olacağından Özel: Yalnızca Windows'u yükle'yi seçin ve başlatılmamış disk alanını kullanın.
Bu yeni bilgisayarda yönetici olarak oturum açın. Denetim Masası'na gidin. Bilgisayar adını CORPDC olarak ayarlayın ve bilgisayara sanal ağda statik bir IP adresi verin. Sunucuyu yeniden başlatın.
Sunucu yeniden başlatıldıktan sonra, yönetici olarak oturum açın. Denetim Masası'na gidin. Güncelleştirmeleri denetlemek ve gerekli tüm güncelleştirmeleri yüklemek üzere bilgisayarı yapılandırın. Sunucuyu yeniden başlatın.
Etki alanı denetleyicisini oluşturmak için rolleri ekleme
Bu bölümde, yeni Windows Server'ı etki alanı denetleyicisi olacak şekilde ayarlayacaksınız. Active Directory Domain Services (AD DS), DNS Sunucusu ve Dosya Sunucusu (Dosya ve Depolama Hizmetleri bölümünün bir parçası) rollerini ekleyecek ve bu sunucuyu yeni bir contoso.local ormanının etki alanı denetleyicisine yükselteceksiniz.
Not
CORP etki alanınız olarak kullanılacak bir etki alanınız zaten varsa ve bu etki alanı, etki alanı işlev düzeyi olarak Windows Server 2012 R2 veya sonraki bir sürümü kullanıyorsa, Tanıtım amacıyla ek kullanıcı ve grup oluşturma bölümüne atlayabilirsiniz.
Yönetici olarak oturum açmış durumdayken PowerShell’i başlatın.
Aşağıdaki komutları yazın.
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetworkKullanılacak Güvenli Mod Yönetici Parolası istenir. DNS temsilcisi ve şifreleme ayarlarıyla ilgili uyarı iletilerinin görüntüleneceğini unutmayın. Bunlar normaldir.
Orman oluşturma işlemi tamamlandıktan sonra oturumu kapatın. Sunucu otomatik olarak yeniden başlatılır.
Sunucu yeniden başlatıldıktan sonra, etki alanının yöneticisi olarak CORPDC’de oturum açın. Bu genellikle, CORPDC'ye Windows'u yüklediğinizde oluşturulan parolayı içeren CONTOSO\Administrator kullanıcısıdır.
Güncelleştirmeleri yükleme (yalnızca Windows Server 2012 R2)
- CORPDC işletim sistemi olarak Windows Server 2012 R2’yi kullanmayı seçerseniz CORPDC’de düzeltme 2919442, 2919355 ve güncelleştirme 3155495’i yüklemeniz gerekir.
Grup oluşturma
Active Directory tarafından yapılacak denetim için bir grup oluşturun (grup zaten yoksa). Grubun adı, NetBIOS etki alanı adının sonuna üç dolar işareti eklenerek oluşturulmalıdır (örneğin, CONTOSO$$$).
Her etki alanı için, bir etki alanı denetleyicisinde etki alanı yöneticisi olarak oturum açın ve aşağıdaki adımları uygulayın:
PowerShell’i başlatın.
Aşağıdaki komutları yazın, ancak "CONTOSO" yerine kendi etki alanınızın NetBIOS adını kullanın.
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
Bazı durumlarda grup zaten var olabilir; etki alanı AD geçiş senaryolarında da kullanıldıysa, bu normal bir durumdur.
Tanıtım amacıyla ek kullanıcı ve gruplar oluşturma
Yeni bir CORP etki alanı oluşturduysanız, PAM senaryosunu tanıtmak için ek kullanıcılar ve gruplar oluşturmanız gerekir. Tanıtım amaçlı kullanıcı ve grup etki alanı yöneticisi olmamalı veya AD’de adminSDHolder ayarlarıyla denetlenmemelidir.
Not
CORP etki alanı olarak kullanacağınız bir etki alanınız varsa ve tanıtım amacıyla kullanabileceğiniz bir kullanıcı ve grubu varsa Denetimi yapılandırma bölümüne atlayabilirsiniz.
CorpAdmins adlı bir güvenlik grubu ve Jen adlı bir kullanıcı oluşturacağız. İsterseniz, farklı adlar kullanabilirsiniz. Akıllı kart gibi mevcut bir kullanıcınız varsa yeni bir kullanıcı oluşturmanız gerekmez.
PowerShell’i başlatın.
Aşağıdaki komutları yazın. 'Pa@rola1' parolasını farklı bir parola dizesiyle değiştirin.
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
Denetimi yapılandırma
Mevcut ormanlarda PAM yapılandırmasını oluşturmak için, bu ormanlarda denetimi etkinleştirmeniz gerekir.
Her etki alanı için, bir etki alanı denetleyicisinde etki alanı yöneticisi olarak oturum açın ve aşağıdaki adımları uygulayın:
Windows YönetimselAraçları'nı Başlat'a> gidin ve grup ilkesi Yönetimi'ni başlatın.
Bu etki alanı için etki alanı denetleyicileri ilkesine gidin. contoso.local için yeni bir etki alanı oluşturduysanız Orman: contoso.local>Etki Alanları>contoso.local>Etki Alanı Denetleyicileri>Varsayılan Etki Alanı Denetleyicileri İlkesi'ne gidin. Bir bilgi iletisi görüntülenir.
Varsayılan Etki Alanı Denetleyicileri İlkesi'ne sağ tıklayın ve Düzenle'yi seçin. Yeni bir pencere görüntülenir.
grup ilkesi Yönetim Düzenleyicisi penceresinde, Varsayılan Etki Alanı Denetleyicileri İlke ağacının altında Bilgisayar Yapılandırma>İlkeleri>Windows AyarlarıGüvenlik Ayarları>>Yerel İlkeler>Denetim İlkesi'ne gidin.
Ayrıntılar bölmesinde Hesap yönetimini denetle’ye sağ tıklayın ve Özellikler’i seçin. Bu ilke ayarlarını tanımla’yı seçin, Başarı’ya bir onay kutusu yerleştirin, Hata’ya bir onay kutusu yerleştirin, Uygula’ya ve sonra da Tamam’a tıklayın.
Ayrıntılar bölmesinde, Dizin hizmeti erişimini denetle’ye sağ tıklayın ve Özellikler’i seçin. Bu ilke ayarlarını tanımla’yı seçin, Başarı’ya bir onay kutusu yerleştirin, Hata’ya bir onay kutusu yerleştirin, Uygula’ya ve sonra da Tamam’a tıklayın.
Grup İlkesi Yönetimi Düzenleyicisi penceresini ve Grup İlkesi Yönetimi penceresini kapatın.
PowerShell penceresini başlatıp aşağıdakileri yazarak denetim ayarlarını uygulayın:
gpupdate /force /target:computer
Birkaç dakika sonra Bilgisayar İlkesinin güncelleştirilmesi tamamlandı iletisi görüntülenmelidir.
Kayıt defteri ayarlarını yapılandırma
Bu bölümde, Privileged Access Management grubu oluşturmak için kullanılacak olan sID Geçmişi geçişi için gereken kayıt defteri ayarlarını yapılandıracaksınız.
PowerShell’i başlatın.
Güvenlik hesapları yöneticisi (SAM) veritabanına uzak yordam çağrısı (RPC) erişimine izin vermek üzere kaynak etki alanını yapılandırmak için aşağıdaki komutları yazın.
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
Bu, etki alanı denetleyicisini (CORPDC) yeniden başlatır. Bu kayıt defteri ayarı hakkında daha fazla bilgi için bkz. AMTv2 ile ormanlar arası sIDHistory geçişi sorunlarını giderme.
Tanıtım amacıyla CORP kaynağı hazırlama
PAM ile güvenlik grubu tabanlı erişim denetimini göstermek için etki alanında en az bir kaynağa ihtiyacınız olacaktır. Henüz bir kaynağınız yoksa, tanıtım amacıyla CORP etki alanına katılmış bir sunucuda bir dosya klasörü kullanabilirsiniz. Bu, contoso.local etki alanında oluşturduğunuz "Jen" ve "CorpAdmins" AD nesnelerini kullanır.
Sunucuya yönetici olarak bağlanın.
CorpFS adlı yeni bir klasör oluşturun ve bu klasörü CorpAdmins grubuyla paylaşın. PowerShell'i yönetici olarak açın ve aşağıdaki komutları yazın.
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $aclPRIV kullanıcısı başka bir ormandan bu sunucuya bağlanacağı için, kullanıcının bilgisayarının bu sunucuya bağlanabilmesi için bu sunucudaki güvenlik duvarı yapılandırmanızı değiştirmeniz gerekebilir.
Sonraki adımda PRIV etki alanı denetleyicisini hazırlayacaksınız.