步驟 1 - 準備主機 CORP 網域

在此步驟中,您要裝載防禦環境。 如有需要,您也要使用防禦環境管理的身分識別,在新的網域和樹系 (CORP 樹系) 中建立網域控制站和成員工作站。 此 CORP 樹系會模擬具有要管理資源的現有樹系。 本文件包含要保護的範例資源,檔案共用。

如果您已經有現有的 Active Directory (AD) 網域和執行 Windows Server 2012 R2 或更新版本的網域控制站,而且您是網域系統管理員,您就可以改用該網域。

準備 CORP 網域控制站

本節說明如何設定 CORP 網域的網域控制站。 在 CORP 網域中,系統管理使用者是受防禦環境管理。 本例中使用的 CORP 網域的網域名稱系統 (DNS) 名稱是 contoso.local

安裝 Windows Server

在虛擬機器上安裝 Windows Server 2012 R2 或更新版本,以建立名為CORPDC的電腦。

  1. 選擇Windows Server 2012 R2 Standard (Server 搭配 GUI) x64Windows Server 2016 (Server 具有桌面體驗)

  2. 檢閱並接受授權條款。

  3. 由於磁碟會為空,請選取 [自訂:僅安裝] 並使用未初始化的磁碟空間。

  4. 以系統管理員身分登入新的電腦。 瀏覽至 [控制台]。 將電腦名稱設為 CORPDC,並在虛擬網路上給予其靜態 IP 位址。 重新啟動伺服器。

  5. 在伺服器重新啟動之後,以系統管理員的身分登入。 瀏覽至 [控制台]。 設定電腦檢查更新,並安裝所需的任何更新。 重新啟動伺服器。

加入角色以建立網域控制站

本節會使用 PowerShell 加入 Active Directory 網域服務 (AD DS)、DNS 伺服器和檔案伺服器角色 ([檔案和存放服務] 區段的一部分),並將此伺服器升級至新樹系 “contoso.local“ 的網域控制站。

注意

如果您已經有用為 CORP 網域的網域,而該網域使用 Windows Server 2012 R2 或更新版本作為其網域控制站,您可以跳至建立額外的使用者和群組供示範之用

  1. 以系統管理員身分登入後,啟動 PowerShell。

  2. 輸入下列命令。

    import-module ServerManager
    
    Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools
    
    Install-ADDSForest –DomainMode Win2008R2 –ForestMode Win2008R2 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
    

    這會提示輸入要使用的安全模式系統管理員密碼。 請注意,將會出現 DNS 委派和密碼編譯設定值的警告訊息。 這些都是正常的。

  3. 樹系建立完成之後,請登出。伺服器將會自動重新開機。

  4. 在伺服器重新啟動之後,以網域的系統管理員身分登入 CORPDC。 這通常是使用者 CONTOSO\Administrator,它會有您在 CORPDC 上安裝 Windows 時所建立的密碼。

建立群組

如果 Active Directory 稽核用途群組不存在,請建立群組。 群組的名稱必須是後面接著三個貨幣符號的 NetBIOS 網域名稱,例如,CONTOSO$$$

針對每個網域,以網域系統管理員身分登入網域控制站,並執行下列步驟︰

  1. 啟動 PowerShell。

  2. 輸入下列命令,但用網域的 NetBIOS 名稱取代 "CONTOSO"。

    import-module activedirectory
    
    New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
    

在某些情況下,群組可能已存在;如果網域也用於 AD 移轉案例中,這是正常的。

建立額外的使用者和群組供示範之用

如果您建立了新的 CORP 網域,就應該建立額外的使用者和群組示範 PAM 案例。 示範用途的使用者和群組不應該是網域系統管理員,或受 AD adminSDHolder 設定所控制。

注意

如果已經有打算用為 CORP 網域的網域,而且它有您可以用於示範的使用者和群組,請跳至設定稽核一節。

我們將建立一個名為 CorpAdmins 的安全性群組,和名為 Jen 的使用者。 如果希望,您可以使用不同的名稱。

  1. 啟動 PowerShell。

  2. 輸入下列命令。 請用不同的密碼字串取代密碼 'Pass@word1'。

    import-module activedirectory
    
    New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins
    
    New-ADUser –SamAccountName Jen –name Jen
    
    Add-ADGroupMember –identity CorpAdmins –Members Jen
    
    $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    
    Set-ADAccountPassword –identity Jen –NewPassword $jp
    
    Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
    

設定稽核

您必須啟用現有樹系的稽核,以在這些樹系中建立 PAM 設定。

針對每個網域,以網域系統管理員身分登入網域控制站,並執行下列步驟︰

  1. 移至 [開始][系統管理工具 (Windows Server 2016 為 [Windows 系統管理工具])],並啟動 [群組原則管理]

  2. 瀏覽到此網域的網域控制站原則。 如果您為 contoso.local 建立了新網域,請瀏覽至 [Forest: contoso.local (樹系: contoso.local)][網域][contoso.local][網域控制站][Default Domain Controllers Policy (預設網域控制站原則)]。 隨出現參考訊息。

  3. 以滑鼠右鍵按一下 [Default Domain Controllers Policy (預設網域控制站原則)],然後選取 [編輯]。 新視窗隨即出現。

  4. 在 [群組原則管理編輯器] 視窗的 [Default Domain Controllers Policy (預設網域控制站原則)] 樹狀目錄下方,瀏覽至 [電腦設定][原則][Windows 設定][安全性設定][本機原則][稽核原則]

  5. 在 [詳細資料] 窗格的 [稽核帳戶管理] 上按一下滑鼠右鍵,然後選取 [屬性]。 選取 [定義這些原則設定值]、將 [成功] 打勾、將 [失敗] 打勾、按一下 [套用] 和 [確定]

  6. [詳細資料] 窗格中,在 [稽核目錄服務存取] 上按一下滑鼠右鍵,然後選取 [屬性]。 選取 [定義這些原則設定值]、將 [成功] 打勾、將 [失敗] 打勾、按一下 [套用] 和 [確定]

  7. 關閉 [群組原則管理編輯器] 視窗和 [群組原則管理] 視窗。

  8. 套用稽核設定,方法是啟動 PowerShell 視窗並輸入:

    gpupdate /force /target:computer
    

幾分鐘後應該會出現「電腦原則更新已成功完成」的訊息表示完成。

進行登錄設定

在本節中,您要設定 SID 歷程記錄移轉所需的登錄設定,它會用於建立 Privileged Access Management 群組。

  1. 啟動 PowerShell。

  2. 輸入下列命令,將來源網域設為允許遠端程序呼叫 (RPC) 存取安全性帳戶管理員 (SAM) 資料庫。

    New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
    
    Restart-Computer
    

這會重新啟動網域控制站 CORPDC。 如需此登錄設定的詳細資訊,請參閱 How to troubleshoot inter-forest sIDHistory migration with ADMTv2 (如何使用 ADMTv2 針對同樹系的 sIDHistory 移轉進行疑難排解)。

準備 CORP 工作站和資源

如果您還沒有加入網域的工作站電腦,請遵循下列指示準備工作站。

注意

如果已有加入網域的工作站,請跳至建立資源以供示範之用

安裝 Windows 8.1 或 Windows 10 Enterprise 為 VM

在另一個未安裝任何軟體的新虛擬機器上,安裝 Windows 8.1 Enterprise 或 Windows 10 Enterprise 以設定電腦 CORPWKSTN

  1. 在安裝期間使用 Express 設定。

  2. 請注意,安裝可能無法連線到網際網路。 選取 [建立本機帳戶]。 指定不同的使用者名稱。請勿使用 “Administrator“ 或 “Jen“。

  3. 使用 [控制台] 中,將虛擬網路上的靜態 IP 位址提供給這台電腦,並將介面的慣用 DNS 伺服器設為屬於 CORPDC 伺服器。

  4. 使用 [控制台],網域會將 CORPWKSTN 將電腦加入到 contoso.local 網域。 您必須提供 Contoso 網域系統管理員認證。 完成此動作時,接著重新啟動電腦 CORPWKSTN。

建立資源以供示範之用

您需要資源以示範具 PAM 的安全性群組型的存取控制。 如果還沒有資源,您可以使用檔案資料夾示範。 這會使用您在 contoso.local 網域中建立的 "Jen" 和 "CorpAdmins" AD 物件。

  1. 連接到工作站 CORPWKSTN。 按一下切換使用者圖示,然後按一下 [Other user (其他使用者)]。 請確定使用者 CONTOSO\Jen 可以登入 CORPWKSTN。

  2. 建立新資料夾 CorpFS,並與 CorpAdmins 群組共用。

  3. 以系統管理員身分啟動 PowerShell。

  4. 輸入下列命令。

    mkdir c:\corpfs
    
    New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins
    
    $acl = Get-Acl c:\corpfs
    
    $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")
    
    $acl.SetAccessRule($car)
    
    Set-Acl c:\corpfs $acl
    

在下一個步驟中,您要準備 PRIV 網域控制站。