7. Adım - Kullanıcının erişimini yükseltmeStep 7 – Elevate a user’s access

Bu adım, bir kullanıcının MIM yoluyla bir rol için erişim isteyebildiğini gösterir.This step demonstrates that a user can request access to a role via MIM.

Jen’in ayrıcalıklı kaynağa erişemediğini doğrulamaVerify that Jen cannot access the privileged resource

Yükseltilmiş ayrıcalıklar olmadan, Jen CORP ormanındaki ayrıcalıklı kaynağa erişemez.Without elevated privileges, Jen cannot access the privileged resource in the CORP forest.

  1. Önbelleğe alınmış tüm açık bağlantıları kaldırmak için CORPWKSTN oturumunu kapatın.Sign out of CORPWKSTN to remove any cached open connections.
  2. CORPWKSTN’de CONTOSO\Jen olarak oturum açın ve Masaüstü görünümüne geçin.Sign in to CORPWKSTN as CONTOSO\Jen and switch to the Desktop view.
  3. DOS komut istemini açın.Open a DOS command prompt.
  4. Şu komutu yazın: dir \\corpwkstn\corpfs.Type the command dir \\corpwkstn\corpfs. Erişim reddedildi hata iletisi gösterilmelidir.The error message Access is denied should appear.
  5. Komut istemi penceresini açık bırakın.Leave the command prompt window open.

MIM’den ayrıcalıklı erişim isteyin.Request privileged access from MIM.

Not

İş istasyonunun ayrıcalıklı bir iş istasyonu (PAW) olması önerilir.It is recommended that the workstation be a privileged workstation(PAW). Daha fazla bilgi için bkz. Paw.For more information see PAW.

  1. PRIVWKSTN 'de, Priv\prı.exe olarak oturum açın.On PRIVWKSTN, logon as PRIV\priv.jen.

  2. Başlat, Çalıştır' a tıklayın ve PowerShell. exe' yi girin.Click Start, Run, and enter PowerShell.exe.

  3. Aşağıdaki komutu yazın.Type the following command.

    runas /user:Priv.Jen@priv.contoso.local powershell
    
  4. İstendiğinde, PRIV.Jen hesabının parolasını yazın.When prompted, type the password for the PRIV.Jen account. Yeni bir komut istemi penceresi görüntülenir.A new command prompt window will appear.

  5. PowerShell penceresi açıldığında, aşağıdaki komutları yazın.When the PowerShell window appears, type the following commands.

    Not

    Bu komutları çalıştırdıktan sonra, izleyen adımların tümü zamana duyarlıdır.After you run these commands, all the following steps are time-sensitive.

    Import-module MIMPAM
    $r = Get-PAMRoleForRequest | ? { $_.DisplayName –eq "CorpAdmins" }
    New-PAMRequest –role $r
    klist purge
    
  6. Bu tamamlandıktan sonra, PowerShell penceresini kapatın.After that completes, close the PowerShell window.

  7. DOS komut penceresinde, aşağıdaki komutu yazınIn the DOS command window, type the following command

    runas /user:Priv.Jen@priv.contoso.local powershell
    
  8. PRIV.Jen hesabının parolasını yazın.Type the password for the PRIV.Jen account. Yeni bir komut istemi penceresi görüntülenir.A new command prompt window will appear.

Yükseltilmiş erişimi doğrulayın.Validate the elevated access.

Yeni açılan pencerede, aşağıdaki komutları yazın.In the newly opened window, type the following commands.

whoami /groups
dir \\corpwkstn\corpfs

Burada dir komutu Erişim reddedildi hata iletisiyle başarısız olursa, güven ilişkisini yeniden denetleyin.If the dir command fails with the error message Access is denied, re-check the trust relationship.

Ayrıcalıklı rolü etkinleştirmeActivate the privileged role

PAM örnek portalı üzerinden ayrıcalıklı erişim isteğinde bulunarak etkinleştirin.Activate by requesting privileged access via the PAM sample portal.

  1. CORPWKSTN’de, CORP\Jen olarak oturum açtığınızdan emin olun.On CORPWKSTN, make sure that you are signed in as CORP\Jen.

  2. DOS komut penceresine aşağıdaki komutu yazın.Type the following command in a DOS command window.

    runas /user:Priv.Jen@priv.contoso.local "c:\program files\Internet Explorer\iexplore.exe"
    
  3. İstendiğinde, PRIV.Jen hesabının parolasını yazın.When prompted, type the password for the PRIV.Jen account. Yeni bir web tarayıcısı penceresi görüntülenir.A new web browser window will appear.

  4. http://pamsrv.priv.contoso.local:8090' A gidin ve örnek portaldan bir Web sayfasının görünür olduğundan emin olun.Navigate to http://pamsrv.priv.contoso.local:8090 and ensure that a web page from the sample portal is visible.

  5. Internet Explorer 'da Araçlar > Internet seçenekleri ' ni seçin ve güvenlik sekmesine tıklayın.In Internet Explorer, select Tools > Internet Options and click the Security tab.

  6. Yerel intranet bölgesisiteleri Gelişmiş ' e tıklayın ve > Sites > Advanced ardından Web sitesini bölgeye ekleyin.Click on the Local intranet zone > Sites > Advanced then add the website to the zone.

  7. İnternet Seçenekleri iletişim kutularını kapatın.Close the Internet Options dialogs.

  8. Sol sekmede Etkinleştir’e tıklayın.On the left tab, click Activate. PAM rolü’nü seçin ve ardından Etkinleştir’e tıklayın.Select the PAM role and then click Activate.

Not

Bu ortamda, PAM RES API kullanan uygulamaları nasıl geliştireceğinizi de öğrenebilirsiniz. Bununla ilgili ayrıntılı bilgi için bkz. Privileged Access Management REST API Başvurusu.In this environment, you can also learn how to develop applications which use the PAM REST API, described in the Privileged Access Management REST API Reference.

ÖzetSummary

Bu yordamın adımlarını tamamladığınızda, bir Privileged Access Management senaryosunu tanıtmış olursunuz. Bu senaryoda kullanıcı ayrıcalıkları sınırlı bir süre için yükseltilir ve kullanıcının korumalı kaynaklara ayrı bir ayrıcalıklı hesapla erişmesine izin verilir.Once you have completed the steps in this walkthrough, you will have demonstrated a Privileged Access Management scenario, in which user privileges are elevated for a limited amount of time, allowing the user to access protected resources with a separate privileged account. Yükseltme oturumunun süresi dolduğu anda, ayrıcalıklı hesap artık korumalı kaynağa erişemez.As soon as the elevation session expires, the privileged account can no longer access the protected resource. Hangi güvenlik gruplarının ayrıcalıklı rolleri temsil edeceğine ilişkin karar, PAM yöneticisiyle eşgüdümlü olarak alınır.The decision of which security groups represent privileged roles is coordinated by the PAM administrator. Erişim hakları Privileged Access Management sistemine geçirildikten sonra, başlangıçtaki kullanıcı hesabıyla daha önce mümkün olan erişim artık yalnızca istek üzerine sağlanan özel ayrıcalıklı hesapla oturum açılarak mümkün olur.Once access rights are migrated to the Privileged Access Management system, access that was previously possible with the original user account is now made possible only by signing in with a special privileged account, and made available upon request. Sonuç olarak, üst düzeyde ayrıcalıklı grupların üyeliği sınırlı bir süre için geçerlidir.As a result, group memberships for highly privileged groups are effective for a limited amount of time.