步驟 1 設定 PRIV 網域
設定PRIV網域
將壓縮檔解壓縮至 $env:SYSTEMDRIVE\PAM 資料夾之後,編輯 PAMDeploymentConfig.xml 以提供 PRIV 樹系的詳細資料。 更新 DNSName、NetbiosName、DC 名稱、Database/Log Path & sysvol 資料夾 Path。 同時將 Domain & ForestMode 更新為 Windows Server 2016 (WinThreshold) 。
- 以系統管理員身分登入PRIV網域DC
- 以系統管理員身分執行 PowerShell
- cd $env:SYSTEMDRIVE\PAM
- import-module .\PAMDeployment.ps1
- 選取功能表選項 9 (PRIV 樹系設定)
DC 會在完成後自動重新開機。 目錄服務還原模式 (DSRM) 系統管理員密碼必須符合下列條件︰
- 密碼長度最少為 15 個字元
- 密碼至少包含一個小寫字元
- 密碼至少包含一個大寫字元
- 密碼至少包含一個數字或特殊字元
設定PRIV網域
- 以系統管理員身分登入PRIVDC
- 以系統管理員身分執行 PowerShell
- cd $env:SYSTEMDRIVE\PAM
- .\PAMDeployment.ps1
- 選取功能表選項 1 (PRIV 樹系設定)
如果網域中還沒有管理 SQL、SharePoint 和 MIM,系統會自動建立管理 SQL、SharePoint 和 MIM 所需的服務帳戶。 在指令碼執行期間,系統會提示您輸入密碼以建立這些服務帳戶。
部署時,PRIV 網域功能等級應設定為 Windows Server 2016。 腳本會提示啟用 PAM 所需的選擇性 Active Directory「特殊許可權存取管理功能」。 確認 [是] 以繼續進行。 請勿針對低於 Windows Server 2016 的功能等級部署 PAM,因為一旦系統管理員將功能等級提升為 Windows Server 2016,您必須重新執行 PAMDeployment.ps1 和 PAM 樹系設定。
注意
PRIVOnly 設定不需要下列步驟
- 將 $env:SYSTEMDRIVE\PAM 中產生的 SIDs.txt 複製到 CORPDC 上類似的資料夾。
- 您需要 CORPDC 上的此 SID 清單,才能在後續步驟中設定許可權,讓 PRIV 使用者能夠讀取 CORP 用戶屬性。
- 指令碼完成後,系統會提示您重新啟動電腦來使變更生效。