7. Adım - Kullanıcının erişimini yükseltme
Bu adım, bir kullanıcının MIM yoluyla bir rol için erişim isteyebildiğini gösterir.
Kaynağa erişimin kısıtlandığını doğrulama
Yükseltilmiş ayrıcalıklar olmadan Jen'in hesabı CORP ormanındaki ayrıcalıklı kaynağa erişemez.
- Önbelleğe alınmış açık bağlantıları kaldırmak için Jen'in tüm bilgisayarlarda oturumunu kapatmasını sağlayın.
- PRIVWKSTN'de oturum açın.
- DOS komut istemini açın.
- Kullanıcının bir güvenlik grubu üyeliği olmasını gerektirecek komutu yazın. Örneğin, güvenlik grubu CORPDC bilgisayarında dosya paylaşımı
corpfs
kullanma özelliğini koruyorsa yazındir \\corpdc\corpfs
. Erişim reddedildi hata iletisi gösterilmelidir. - Komut istemi penceresini açık bırakın.
MIM'den ayrıcalıklı erişim isteme
Not
İş istasyonunun ayrıcalıklı bir iş istasyonu (PAW) olması önerilir. Daha fazla bilgi için cihazların güvenliğini sağlama kılavuzuna bakın.
PRIVWKSTN'de olarak
PRIV\priv.jen
oturum açın.PowerShell’i başlatın.
Aşağıdaki komutu yazın.
runas /user:Priv.Jen@priv.contoso.local powershell
İstendiğinde, hesabın parolasını
PRIV.Jen
yazın. Yeni bir komut istemi penceresi görüntülenir.PowerShell penceresi açıldığında, aşağıdaki komutları yazın.
Not
Bu komutları çalıştırdıktan sonra, izleyen adımların tümü zamana duyarlıdır.
Import-module MIMPAM $r = Get-PAMRoleForRequest | ? { $_.DisplayName –eq "CorpAdmins" } New-PAMRequest –role $r klist purge
Bu tamamlandıktan sonra, PowerShell penceresini kapatın.
Komut penceresinde aşağıdaki komutu yazın:
runas /user:Priv.Jen@priv.contoso.local powershell
Hesabın parolasını
PRIV.Jen
yazın. Yeni bir komut istemi penceresi görüntülenir.Yeni açılan penceredeki yükseltilmiş erişimin kullanıcıya yeni grup üyelikleri sağladığını doğrulayın. aşağıdaki komutu yazın.
whoami /groups
Ardından, daha önce erişim yetersizliği nedeniyle engellenmiş olarak gösterilen komutu yazın. Örneğin, kaynak bir dosya paylaşımıysa
corpfs
aşağıdaki komutu yazın.dir \\corpdc\corpfs
Dir komutu Access reddedildi hata iletisiyle başarısız olursa, güven ilişkisini yeniden denetleyin.
Özet
Bu kılavuzu tamamladığınıza göre, bir Privileged Access Management senaryosu gösterdiniz. Bu senaryoda, kullanıcı ayrıcalıkları sınırlı bir süre için yükseltilmiştir ve kullanıcının korumalı kaynaklara ayrı bir ayrıcalıklı hesapla erişmesine olanak tanır. Yükseltme oturumunun süresi dolduğu anda, ayrıcalıklı hesap artık korumalı kaynağa erişemez. Ardından, erişim haklarını Privileged Access Management sistemine geçirdiğinizde, özgün kullanıcı hesabı için kalıcı olarak kullanılabilir olan erişim yalnızca istek üzerine özel hesaplar için mümkün olacaktır. Sonuç olarak, yüksek ayrıcalıklı gruplar için grup üyelikleri yalnızca sınırlı süreler için kullanılabilir.