6. Adım – Grubu Privileged Access Management’a geçirme

  • Makale

« 5. Adım 7. Adım »

PRIV ormanında ayrıcalıklı hesap oluşturma işlemi, PowerShell cmdlet’leri kullanılarak yapılır. Bu cmdlet'ler aşağıdaki işlevleri gerçekleştirir:

  • CORP ormanındaki bir grupla aynı Güvenlik Tanımlayıcısı’nı (SID) kullanarak PRIV ormanında yeni grup oluşturma.
  • MIM hizmeti veritabanında, PRIV ormanındaki gruba karşılık gelen bir nesne oluşturma.
  • Her kullanıcı hesabı için, MIM Hizmeti veritabanında biri CORP ormanındaki kullanıcıya ve diğeri de PRIV ormanındaki yeni kullanıcı hesabına karşılık gelen iki nesne oluşturma.
  • MIM Hizmeti veritabanında bir PAM Rolü nesnesi oluşturma.

Cmdlet’ler her grup için birer kez ve gruptaki her üye için birer kez çalıştırılmalıdır. Geçiş cmdlet’leri CORP ormanındaki hiçbir kullanıcıyı veya grubu değiştirmez; bunu PAM yöneticisi daha sonra el ile yapar.

  1. PAMSRV’de PRIV\MIMAdmin olarak doğrudan veya bir PRIV iş istasyonu üzerinden oturum açın.

  2. PowerShell’i başlatın ve aşağıdaki komutları yazın.

   Import-Module MIMPAM
   Import-Module ActiveDirectory

  1. Tanıtım amacıyla, mevcut ormandaki bir kullanıcı hesabına karşılık olarak PRIV’de bir kullanıcı hesabı oluşturun.

    PowerShell’de aşağıdaki komutları yazın. Daha önce contoso.local üzerinde kullanıcıyı oluştururken Jen adını kullanmadıysanız, komutun parametrelerini bunu uygun olarak değiştirin. 'Pass@word1' yalnızca bir örnektir ve benzersiz bir parola değeriyle değiştirilmelidir.

        $sj = New-PAMUser –SourceDomain CONTOSO.local –SourceAccountName Jen
    $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    Set-ADAccountPassword –identity priv.Jen –NewPassword $jp
    Set-ADUser –identity priv.Jen –Enabled 1

  2. Tanıtım amacıyla, CONTOSO’dan PRIV etki alanına bir grubu ve grubun üyesini kopyalayın.

    Aşağıdaki komutları çalıştırın ve istendiğinde CORP etki alanı yöneticisinin (CONTOSO\Administrator) parolasını belirtin:

         $ca = get-credential –UserName CONTOSO\Administrator –Message "CORP forest domain admin credentials"
     $pg = New-PAMGroup –SourceGroupName "CorpAdmins" –SourceDomain CONTOSO.local                 –SourceDC CORPDC.contoso.local –Credentials $ca
     $pr = New-PAMRole –DisplayName "CorpAdmins" –Privileges $pg –Candidates $sj

    Başvuru amacıyla, New-PAMGroup komutu şu parametreleri alır:

    • NetBIOS formunda corp orman etki alanı adı
    • Bu etki alanından kopyalanacak grubun adı
    • CORP ormanı Etki Alanı Denetleyicisi NetBIOS adı
    • CORP ormanındaki bir etki alanı yöneticisi kullanıcısının kimlik bilgileri

  3. (İsteğe bağlı) CORPDC’de, Jen’in hesabı hala CONTOSO CorpAdmins grubundaysa, hesabı o gruptan kaldırın. Bu yalnızca tanıtım amacıyla, izinlerin PRIV ormanında oluşturulan hesaplarla nasıl ilişkilendirildiğini göstermek için gereklidir.

    1. CORPDC’de CONTOSO\Administrator olarak oturum açın.

    2. PowerShell’i başlatın, aşağıdaki komutu çalıştırın ve değişikliği onaylayın.

      Remove-ADGroupMember -identity "CorpAdmins" -Members "Jen"

Kullanıcının yönetici hesabı için ormanlar arası erişim haklarının etkin olduğunu göstermek istiyorsanız, bir sonraki adıma devam edin.

« 5. Adım 7. Adım »