步骤 1 配置 PRIV 域
设置 PRIV 域
压缩文件解压缩到 $env:SYSTEMDRIVE\PAM 文件夹中后,编辑 PAMDeploymentConfig.xml 以提供 PRIV 林的详细信息。 更新 DNSName、NetbiosName、DC 名称、数据库/日志路径 & sysvol 文件夹 Path。 此外,将域 & ForestMode 更新为Windows Server 2016 (WinThreshold) 。
- 以管理员身份登录到 PRIV 域 DC
- 以管理员身份运行 PowerShell
- cd $env: SYSTEMDRIVE\PAM
- import-module .\PAMDeployment.ps1
- 选择菜单选项 9 (PRIV 林设置)
DC 将在完成后自动重新启动。 目录服务还原模式 (DSRM) 管理员密码必须符合以下条件:
- 密码长度至少为 15 个字符
- 密码中包含至少一个小写字符
- 密码中包含至少一个大写字符
- 密码中包含至少一个数字或特殊字符
配置 PRIV 域
- 以管理员身份登录到 PRIVDC
- 以管理员身份运行 PowerShell
- cd $env: SYSTEMDRIVE\PAM
- .\PAMDeployment.ps1
- 选择菜单选项 1(PRIV 林配置)
如果域中尚不存在,则会自动创建管理 SQL、SharePoint 和 MIM 所需的服务帐户。 系统将提示输入用于在脚本执行过程中创建这些服务帐户的密码。
部署时,PRIV 域功能级别应设置为 Windows Server 2016。 该脚本将提示启用 PAM 所需的可选 Active Directory“特权访问管理功能”。 确认“是”以继续。 不要为低于Windows Server 2016的功能级别部署 PAM,因为一旦管理员将功能级别提高到Windows Server 2016,你将需要重新运行 PAMDeployment.ps1 和 PAM 林配置。
注意
PRIVOnly 配置不需要执行以下步骤
- 将在 $env: SYSTEMDRIVE\PAM 中生成的 SIDs.txt 复制到 CORPDC 上类似的文件夹。
- 你将需要 CORPDC 上的 SID 列表,以便在后续步骤中设置权限,使 PRIV 用户能够读取 CORP 用户属性。
- 该脚本完成后,系统将提示你重新启动计算机以使更改生效。