步驟 8:PAM 部署驗證
部署套件隨附驗證指令碼,可執行 PAM 案例來驗證 PAM 部署是否如預期般運作。 若要使用部署驗證,請修改名為 < PamValidation/ 的 PAMDeploymentConfig.xml 區 > 段。
注意
驗證需要已針對 CORP 網域進行網域加入,並已安裝 PAM 用戶端元件的用戶端電腦。 請參閱附件以取得如何安裝用戶端的相關指令碼。
用戶端電腦名稱稱必須在 PAMDeploymentConfig.xml PAMValidationClient/ 標籤中更新 < PAMValidationClient > / > 節點的其餘資料 < ,只有當它與現有的使用者/群組發生衝突時,才需要編輯它,因為此驗證會嘗試建立它們。 使用下列步驟來執行驗證:
步驟 1:
- 以 CORP 網域系統管理員身分登入 CORPDC
- 以系統管理員身分執行 PowerShell
- cd $env:SYSTEMDRIVE\PAM
- Import-module .\PAMValidation.psm1
- Create-PAMValidationonCORPDCConfig
這會建立驗證所需的必要群組和使用者
步驟 2:
- 以 MIMAdmin 身分登入 PAM 伺服器
- 以系統管理員身分執行 PowerShell
- cd $env:SYSTEMDRIVE\PAM
- import-module .\PAMValidation.psm1
- move-PAMVAlidationUsersToPAM
此步驟會將使用者和群組移轉至 PAM 環境
步驟 3:
- 以本機系統管理員身分登入 CORP 用戶端
- 以系統管理員身分執行 PowerShell
- cd $env:SYSTEMDRIVE\PAM
- import-module .\PAMValidation.psm1
- Enable-PAMUsersCORPClientRemote
此步驟會提示您輸入 CORPAdmin 認證。 提供之後,它會將必要的使用者新增到「遠端桌面使用者」和「遠端管理使用者」群組中。
在 CORP 用戶端上,使用下列命令來以您正在驗證的 PRIV 使用者身分開啟 PowerShell。 Runas /u:<PRIV domain>\PRIV.pamRequestor powershell.exe
在 PowerShell 視窗中,輸入:
- cd $env:SYSTEMDRIVE\PAM
- import-module .\PAMValidation.psm1
- test-PAMValidationScenarioNoApprovalRequest
這會顯示要求的狀態。 使用者一開始將無法存取資源。 在使用者以 Just-In-Time 方式新增到角色後,便會獲得存取權。 在要求期間到期之後,該使用者將再次失去存取權。 指令碼會使用預設值 (11分鐘) 做為要求的到期時間。