步骤 1 配置 PRIV 域

  • 项目

步骤 2 »

设置 PRIV 域

压缩文件解压缩到 $env:SYSTEMDRIVE\PAM 文件夹中后,编辑 PAMDeploymentConfig.xml 以提供 PRIV 林的详细信息。 更新 DNSName、NetbiosName、DC 名称、数据库/日志路径 & sysvol 文件夹 Path。 此外,将域 & ForestMode 更新为Windows Server 2016 (WinThreshold) 。

  1. 以管理员身份登录到 PRIV 域 DC
  2. 以管理员身份运行 PowerShell
  3. cd $env: SYSTEMDRIVE\PAM
  4. import-module .\PAMDeployment.ps1
  5. 选择菜单选项 9 (PRIV 林设置)

DC 将在完成后自动重新启动。 目录服务还原模式 (DSRM) 管理员密码必须符合以下条件:

  • 密码长度至少为 15 个字符
  • 密码中包含至少一个小写字符
  • 密码中包含至少一个大写字符
  • 密码中包含至少一个数字或特殊字符

配置 PRIV 域

  1. 以管理员身份登录到 PRIVDC
  2. 以管理员身份运行 PowerShell
  3. cd $env: SYSTEMDRIVE\PAM
  4. .\PAMDeployment.ps1
  5. 选择菜单选项 1(PRIV 林配置)

如果域中尚不存在,则会自动创建管理 SQL、SharePoint 和 MIM 所需的服务帐户。 系统将提示输入用于在脚本执行过程中创建这些服务帐户的密码。

部署时,PRIV 域功能级别应设置为 Windows Server 2016。 该脚本将提示启用 PAM 所需的可选 Active Directory“特权访问管理功能”。 确认“是”以继续。 不要为低于Windows Server 2016的功能级别部署 PAM,因为一旦管理员将功能级别提高到Windows Server 2016,你将需要重新运行 PAMDeployment.ps1 和 PAM 林配置。

注意

PRIVOnly 配置不需要执行以下步骤

  1. 将在 $env: SYSTEMDRIVE\PAM 中生成的 SIDs.txt 复制到 CORPDC 上类似的文件夹。
    • 你将需要 CORPDC 上的 SID 列表,以便在后续步骤中设置权限,使 PRIV 用户能够读取 CORP 用户属性。
  2. 该脚本完成后,系统将提示你重新启动计算机以使更改生效。

步骤 2 »