步驟 1 - 準備主機 CORP 網域

  • 發行項

步驟 2 »

在此步驟中,您將準備裝載將由 PAM 管理的環境。 如有必要,您也會在新的網域和樹系中建立網域控制站和成員工作站, (CORP 樹系) 。 該樹系的存取權會來自防禦環境所管理的身分識別,並在下一個步驟中建立 PRIV 樹系。 此 CORP 樹系會模擬具有要管理資源的現有樹系。 本文件包含要保護的範例資源,檔案共用。

如果您已經有現有的 Active Directory (AD) 網域,且網域控制站執行Windows Server 2012 R2 或更新版本,您可以在其中改為使用該網域,並跳至本文中的「建立群組」一節。

準備 CORP 網域控制站

本節說明如何設定 CORP 網域的網域控制站。 在 CORP 網域中,系統管理使用者是受防禦環境管理。 本例中使用的 CORP 網域的網域名稱系統 (DNS) 名稱是 contoso.local

安裝 Windows Server

在虛擬機器上安裝Windows Server 2016或更新版本,以建立名為CORPDC的電腦。

  1. 選擇[具有桌面體驗的伺服器]) Windows Server 2016 (伺服器。

  2. 檢閱並接受授權條款。

  3. 由於磁碟會為空,請選取 [自訂:僅安裝] 並使用未初始化的磁碟空間。

  4. 以系統管理員身分登入新的電腦。 瀏覽至 [控制台]。 將電腦名稱設為 CORPDC,並在虛擬網路上給予其靜態 IP 位址。 重新啟動伺服器。

  5. 在伺服器重新啟動之後,以系統管理員的身分登入。 瀏覽至 [控制台]。 設定電腦檢查更新,並安裝所需的任何更新。 重新啟動伺服器。

加入角色以建立網域控制站

在本節中,您將設定新的 Windows Server 成為網域控制站。 您將新增Active Directory 網域服務 (AD DS) 、DNS 伺服器和檔案伺服器 () 角色的一部分,並將此伺服器升級至新樹系 contoso.local 的網域控制站。

注意

如果您已經有要作為 CORP 網域的網域,且該網域使用 Windows Server 2012 R2 或更新版本作為其網域功能等級,您可以跳至建立其他使用者和群組以供示範之用

  1. 以系統管理員身分登入後,啟動 PowerShell。

  2. 輸入下列命令。

    import-module ServerManager

Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools

Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork

    這會提示輸入要使用的安全模式系統管理員密碼。 請注意,將會出現 DNS 委派和密碼編譯設定值的警告訊息。 這些都是正常的。

  3. 樹系建立完成之後,登出。伺服器會自動重新開機。

  4. 在伺服器重新啟動之後,以網域的系統管理員身分登入 CORPDC。 這通常是使用者 CONTOSO\Administrator,這會在您于 CORPDC 上安裝 Windows 時建立的密碼。

僅安裝 R2 (Windows Server 2012更新)

  1. 如果您選擇使用 Windows Server 2012 R2 當作 CORPDC 的作業系統,則必須在 CORPDC 上安裝 Hotfixe 2919442、2919355,及更新 3155495

建立群組

如果 Active Directory 稽核用途群組不存在,請建立群組。 群組的名稱必須是後面接著三個貨幣符號的 NetBIOS 網域名稱,例如,CONTOSO$$$

針對每個網域,以網域系統管理員身分登入網域控制站,並執行下列步驟︰

  1. 啟動 PowerShell。

  2. 輸入下列命令,但用網域的 NetBIOS 名稱取代 "CONTOSO"。

    import-module activedirectory

New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'

在某些情況下,群組可能已存在;如果網域也用於 AD 移轉案例中,這是正常的。

建立額外的使用者和群組供示範之用

如果您建立了新的 CORP 網域,就應該建立額外的使用者和群組示範 PAM 案例。 示範用途的使用者和群組不應該是網域系統管理員,或受 AD adminSDHolder 設定所控制。

注意

如果您已經有作為 CORP 網域使用的網域,而且其具有使用者和群組,可供示範之用,則可以跳至設定 核一節。

我們將建立一個名為 CorpAdmins 的安全性群組,和名為 Jen 的使用者。 如果希望,您可以使用不同的名稱。 如果您已經有現有的使用者,例如使用智慧卡,則不需要建立新的使用者。

  1. 啟動 PowerShell。

  2. 輸入下列命令。 請用不同的密碼字串取代密碼 'Pass@word1'。

    import-module activedirectory

New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins

New-ADUser –SamAccountName Jen –name Jen

Add-ADGroupMember –identity CorpAdmins –Members Jen

$jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

Set-ADAccountPassword –identity Jen –NewPassword $jp

Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"

設定稽核

您必須啟用現有樹系的稽核,以在這些樹系中建立 PAM 設定。

針對每個網域,以網域系統管理員身分登入網域控制站,並執行下列步驟︰

  1. 移至[啟動>Windows 系統管理工具],然後啟動[群組原則管理]。

  2. 瀏覽到此網域的網域控制站原則。 如果您為 contoso.local 建立新的網域,請流覽至 [樹系:contoso.local網域]>[contoso.local>>網域控制站>預設網域控制站原則]。 隨出現參考訊息。

  3. 以滑鼠右鍵按一下 [Default Domain Controllers Policy (預設網域控制站原則)],然後選取 [編輯]。 新視窗隨即出現。

  4. 在 [群組原則管理編輯器] 視窗中,流覽至 [預設網域控制站原則] 樹狀目錄下的 [電腦>> 設定原則] [Windows 設定>安全性設定>本機原則>] 稽核原則

  5. 在 [詳細資料] 窗格的 [稽核帳戶管理] 上按一下滑鼠右鍵,然後選取 [屬性]。 選取 [定義這些原則設定值]、將 [成功] 打勾、將 [失敗] 打勾、按一下 [套用] 和 [確定]

  6. [詳細資料] 窗格中,在 [稽核目錄服務存取] 上按一下滑鼠右鍵,然後選取 [屬性]。 選取 [定義這些原則設定值]、將 [成功] 打勾、將 [失敗] 打勾、按一下 [套用] 和 [確定]

  7. 關閉 [群組原則管理編輯器] 視窗和 [群組原則管理] 視窗。

  8. 套用稽核設定,方法是啟動 PowerShell 視窗並輸入:

    gpupdate /force /target:computer

幾分鐘後應該會出現「電腦原則更新已成功完成」的訊息表示完成。

進行登錄設定

在本節中,您將設定 sID 歷程記錄移轉所需的登錄設定,這會用於建立 Privileged Access Management 群組。

  1. 啟動 PowerShell。

  2. 輸入下列命令,將來源網域設為允許遠端程序呼叫 (RPC) 存取安全性帳戶管理員 (SAM) 資料庫。

    New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Restart-Computer

這會重新啟動網域控制站 CORPDC。 如需此登錄設定的詳細資訊,請參閱 How to troubleshoot inter-forest sIDHistory migration with ADMTv2 (如何使用 ADMTv2 針對同樹系的 sIDHistory 移轉進行疑難排解)。

準備 CORP 資源以供示範之用

您必須在網域中至少需要一個資源,才能使用 PAM 示範安全性群組型存取控制。 如果您還沒有資源,您可以在加入 CORP 網域的伺服器上使用檔案資料夾,以進行示範。 這會使用您在 contoso.local 網域中建立的 "Jen" 和 "CorpAdmins" AD 物件。

  1. 以系統管理員身分連線到伺服器。

  2. 建立新資料夾 CorpFS,並與 CorpAdmins 群組共用。 以系統管理員身分開啟 PowerShell,然後輸入下列命令。

    mkdir c:\corpfs

New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins

$acl = Get-Acl c:\corpfs

$car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")

$acl.SetAccessRule($car)

Set-Acl c:\corpfs $acl

  3. 由於 PRIV使用者將會從另一個樹系連線到此伺服器,因此您可能需要變更此伺服器上的防火牆設定,讓使用者的電腦能夠連線到此伺服器。

在下一個步驟中,您將準備 PRIV 網域控制站。

步驟 2 »