步驟 2 - 準備第一個 PRIV 網域控制站
在此步驟中,您將建立新的網域,以提供系統管理員驗證的防禦環境。 此樹系至少需要一個域控制器、一個成員工作站,以及至少一個成員伺服器。 成員伺服器會在下個步驟中設定。
建立新的 Privileged Access Management 網域控制站
在本節中,您將設定虛擬機作為新樹系的域控制器。
安裝 Windows Server 2016 或更新版本
在另一部未安裝軟體的新虛擬機上,安裝 Windows Server 2016 或更新版本,讓計算機成為 “PRIVDC”。
選擇執行 Windows Server 自訂安裝 (不升級)。 安裝時,請指定具有桌面體驗的伺服器 Windows Server 2016 () ;請勿選取[數據中心] 或 [Server Core]。
檢閱並接受授權條款。
由於磁碟會為空,請選取 [自訂:僅安裝] 並使用未初始化的磁碟空間。
在安裝作業系統版本之後,以新的系統管理員身分登入這部新電腦。 使用 控制台 將計算機名稱設定為PRIVDC。 在網路設定中,為它提供虛擬網路上的靜態 IP 位址,並將 DNS 伺服器設定為上一個步驟中安裝的域控制器。 您必須重新啟動伺服器。
在伺服器重新啟動之後,以系統管理員的身分登入。 使用 [控制台] 設定電腦來檢查更新,並安裝所需的任何更新。 安裝更新可能需要重新啟動伺服器。
新增角色
加入 [Active Directory 網域服務 (AD DS)] 和 [DNS 伺服器] 角色。
以系統管理員身分啟動 PowerShell。
輸入下列命令,準備 Windows Server Active Directory 安裝。
import-module ServerManager Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
設定 SID 歷程記錄移轉的登錄設定
啟動 PowerShell 並輸入下列命令,將來源網域設為允許遠端程序呼叫 (RPC) 存取安全性帳戶管理員 (SAM) 資料庫。
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
建立新的 Privileged Access Management 樹系
接著,將伺服器升級為新樹系的網域控制站。
在本指南中,會使用priv.contoso.local名稱作為新樹系的功能變數名稱。 樹系的名稱並不重要,而且不需要從屬於組織中的現有樹系名稱。 不過,新樹系的網域和 NetBIOS 名稱都必須是唯一的,而且不同於組織中的任何其他網域。
建立網域和樹系
在 PowerShell 視窗中輸入下列命令,建立新的網域。 這些命令也會在上一個步驟中建立的上層網域 (contoso.local) 建立 DNS 委派。 如果您想要稍後再設定 DNS,請省略
CreateDNSDelegation -DNSDelegationCredential $ca參數。$ca= get-credential Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca當彈出視窗出現以設定 DNS 委派時,請提供 CORP 樹系管理員的認證,本指南中是用戶名稱 CONTOSO\Administrator,以及步驟 1 中的對應密碼。
PowerShell 視窗會提示您輸入要使用的安全模式系統管理員密碼。 輸入兩次新密碼。 會出現 DNS 委派和密碼編譯設定值的警告訊息,這些都是正常的。
樹系建立完成之後,將會自動重新啟動伺服器。
建立使用者和服務帳戶
建立 MIM 服務和入口網站安裝的使用者與服務帳戶。 這些帳戶就會進入 priv.contoso.local 網域的使用者容器。
伺服器重新啟動之後,以網域系統管理員身分登入PRIVDC, (PRIV\Administrator) 。
啟動 PowerShell,並輸入下列命令。 密碼 'Pass@word1' 只是範例,帳戶應該使用不同的密碼。
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent Set-ADAccountPassword –identity MIMComponent –NewPassword $sp Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 New-ADUser -SamAccountName MIMAdmin -name MIMAdmin Set-ADAccountPassword –identity MIMAdmin -NewPassword $sp Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1 Add-ADGroupMember "Domain Admins" SharePoint Add-ADGroupMember "Domain Admins" MIMService
設定稽核和登入權限
您需要設定稽核,以跨樹系建立 PAM 設定。
請確定您已以網域系統管理員身分登入, (PRIV\Administrator) 。
移至 [啟動>Windows 系統管理工具>群組原則 管理]。
流覽至樹系 :p riv.contoso.local>Domains>priv.contoso.local>域控制器>預設域控制器原則。 會出現一則警告訊息。
以滑鼠右鍵按一下 [Default Domain Controllers Policy (預設網域控制站原則)],然後選取 [編輯]。
在 [群組原則 管理編輯器] 控制台樹中,流覽至 [計算機>>設定原則] [Windows 設定>安全性設定>] [本機策略>稽核策略]。
以滑鼠右鍵按一下 [詳細資料] 窗格的 [稽核帳戶管理],然後選取 [內容]。 按一下 [定義這些原則設定]、勾選 [成功] 核取方塊、勾選 [失敗] 核取方塊、依序按一下 [套用] 和 [確定]。
在 [詳細資料] 窗格中,以滑鼠右鍵按一下 [稽核目錄服務存取],然後選取 [內容]。 按一下 [定義這些原則設定]、勾選 [成功] 核取方塊、勾選 [失敗] 核取方塊、依序按一下 [套用] 和 [確定]。
流覽至 電腦設定>原則>Windows 設定>安全性設定>帳戶原則>Kerberos 原則。
在 [詳細資料] 窗格中,以滑鼠右鍵按一下 [使用者票證的最長存留期],然後選取 [內容]。 按一下 [定義這些原則設定]、將時數設定為 1,依序按一下 [套用] 和 [確定]。 請注意,視窗中的其他設定也會變更。
在 [群組原則管理] 視窗中,選取 [Default Domain Policy (預設網域原則)],按一下滑鼠右鍵並選取 [編輯]。
展開 [計算機設定>原則>] [Windows 設定>安全性設定>本機原則 ],然後選取 [ 用戶權力指派]。
在 [詳細資料] 窗格中,以滑鼠右鍵按一下 [拒絕以批次工作登入],然後選取 [內容]。
核取 [ 定義這些原則設定 ] 複選框,按兩下 [ 新增使用者或群組],然後在 [使用者和組名] 字段中輸入 priv\mimmonitor;priv\MIMService;priv\mimcomponent ,然後按兩下 [ 確定]。
按一下 [確定] 以關閉視窗。
在 [詳細資料] 窗格中,以滑鼠右鍵按一下 [拒絕透過遠端桌面服務登入],然後選取 [內容]。
單擊 [ 定義這些原則設定 ] 複選框,按兩下 [ 新增使用者或群組],然後在 [使用者和組名] 字段中輸入 priv\mimmonitor;priv\MIMService;priv\mimcomponent ,然後按兩下 [ 確定]。
按一下 [確定] 以關閉視窗。
關閉 [群組原則管理編輯器] 視窗和 [群組原則管理] 視窗。
以系統管理員身分啟動 PowerShell 視窗,輸入下列命令,從群組原則設定來更新 DC。
gpupdate /force /target:computer一分鐘之後,它會完成訊息:「計算機原則更新已順利完成」。
在 PRIVDC 上設定 DNS 名稱轉送
在 PRIVDC 上使用 PowerShell,設定 DNS 名稱轉送以便 PRIV 網域辨識其他現有的樹系。
啟動 PowerShell。
針對每個現有樹系頂端的每個網域,輸入下列命令。 在該命令中,指定現有的 DNS 網域 (,例如 contoso.local) ,以及該網域的主要 DNS 伺服器的 IP 位址。
如果您在上一個步驟中建立一個網域 contoso.local,其中 10.1.1.31 作為其 IP 位址,則為 CORPDC 計算機的虛擬網路 IP 位址指定 10.1.1.31 。
Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
注意
其他的樹系必須也能夠將 PRIV 樹系的 DNS 查詢路由到此網域控制站。 如果您有多個現有的 Active Directory 樹系,則這些樹系每一個都必須新增 DNS 條件轉寄站。
設定 Kerberos
使用 PowerShell,加入 SPN,好讓 SharePoint、PAM REST API 和 MIM 服務可以使用 Kerberos 驗證。
setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint setspn -S http/pamsrv PRIV\SharePoint setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService setspn -S FIMService/pamsrv PRIV\MIMService
注意
本文件接下來的步驟會說明如何在單一電腦上安裝 MIM 2016 伺服器元件。 如果您計劃加入其他伺服器以取得高可用性,則需要額外的 Kerberos 設定,如 FIM 2010: Kerberos Authentication Setup (FIM 2010:Kerberos 驗證安裝) 中所述。
設定委派以授予 MIM 服務帳戶存取權
以網域系統管理員身分在 PRIVDC 上執行下列步驟。
啟動 [Active Directory 使用者和電腦]。
以滑鼠右鍵按一下 priv.contoso.local 網域,選取 [委派控制]。
在 [選取的使用者及群組] 索引標籤上,按一下 [新增]。
在 [選取使用者、計算機或群組] 視窗中,輸入
mimcomponent; mimmonitor; mimservice並按兩下 [ 檢查名稱]。 當名稱加上底線後,按一下 [確定],然後按一下 [下一步]。在常見工作清單中,選取 [建立、刪除及管理使用者帳戶] 和 [修改群組成員資格] ,然後依序按一下 [下一步] 及 [完成] 。
再以滑鼠右鍵按一下網域 priv.contoso.local 並選取 [委派控制項]。
在 [選取的使用者及群組] 索引標籤上,按一下 [新增]。
在 [Select Users, Computers, or Groups (選取使用者、電腦或群組)] 視窗中,輸入 MIMAdmin,然後按一下 [檢查名稱]。 當名稱加上底線後,按一下 [確定],然後按一下 [下一步]。
選取 [自訂工作],使用一般權限套用至此資料夾。
在 [許可權] 清單中,選取下列許可權:
- 讀取
- 寫入
- 建立所有子物件
- 刪除所有子物件
- 讀取所有屬性
- 寫入所有屬性
- 移轉 SID 歷程記錄
按 [下一步],然後按擊 [ 完成]。
再次以滑鼠右鍵按一下網域 priv.contoso.local 並選取 [委派控制項]。
在 [選取的使用者及群組] 索引標籤上,按一下 [新增]。
在 [Select Users, Computers, or Groups (選取使用者、電腦或群組)] 視窗中,輸入 MIMAdmin,然後按一下 [檢查名稱]。 當名稱加上底線後,按一下 [確定],然後按 [下一步]。
選取 [自訂工作],套用至此資料夾,然後按一下 [僅限使用者物件]。
在權限清單中,選取 [變更密碼] 和 [重設密碼]。 然後依序按 [下一步] 和 [完成]。
關閉 [Active Directory 使用者和電腦]。
開啟命令提示字元。
檢閱 PRIV 網域系統管理員 SD 持有者物件中的存取控制清單。 例如,如果您的網域是 「priv.contoso.local」,請輸入命令:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"視需要更新存取控制清單,以確保 MIM 服務和 MIM PAM 元件服務可以更新此 ACL 所保護群組的成員資格。 輸入命令:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member" dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
在 Windows Server 2016 中設定 PAM
接下來,授權 MIM 系統管理員和 MIM 服務帳戶來建立和更新陰影主體。
Windows Server 2016 Active Directory 中啟用 Privileged Access Management 功能,會在 PRIV 樹系中出現並啟用。 以系統管理員身分啟動 PowerShell 視窗,並輸入下列命令。
$of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'" Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"啟動 PowerShell 視窗並輸入 ADSIEdit。
在 [動作] 功能表中,按一下 [連線到]。 在 [連接點] 設定中,將命名內容從「預設命名內容」改成「設定」,然後按一下 [確定]。
連線之後,在 [ADSI 編輯器] 之下的視窗左側,展開 [設定] 節點會看到 “CN=Configuration,DC=priv,....”。 展開 CN=Configuration,然後展開 CN=Services。
以滑鼠右鍵按一下 “CN=Shadow Principal Configuration”,然後按一下 [內容]。 [內容] 對話方塊出現之後,變更到 [安全性] 索引標籤。
按一下 [新增]。 指定 “MIMService” 帳戶,以及之後會執行 New-PAMGroup 來建立其他 PAM 群組的任何其他 MIM 系統管理員。 針對每個使用者,在允許的權限清單中新增 [寫入]、[建立所有子物件] 和 [刪除所有子物件]。 新增權限。
變更 [進階安全性設定] 選項。 在允許 MIMService 存取的行上,按兩下 [編輯]。 將 [套用到] 設定變更成 [此物件及所有子系物件]。 更新此權限設定並關閉安全性對話方塊。
關閉 [ADSI 編輯器]。
接下來,授權 MIM 系統管理員建立和更新驗證原則。 啟動提升權限的命令提示字元並鍵入下列命令,用您的 MIM 系統管理員帳戶取代四行命令中每行的 “mimadmin”:
dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo重新啟動 PRIVDC 伺服器,讓這些變更生效。
準備 PRIV 工作站
請遵循這些指示來準備工作站。 此工作站將會加入PRIV網域,以執行PRIV資源的維護 (,例如MIM) 。
安裝 Windows 10 企業版
在另一部未安裝軟體的新虛擬機上,安裝 Windows 10 企業版 讓計算機成為 “PRIVWKSTN”。
在安裝期間使用 Express 設定。
請注意,安裝可能無法連線到網際網路。 按一下以 [建立本機帳戶]。 指定不同的使用者名稱。請勿使用 “Administrator“ 或 “Jen“。
使用 [控制台],將虛擬網路上的靜態 IP 位址提供給這部電腦,並將介面的慣用 DNS 伺服器設為屬於 PRIVDC 伺服器。
使用 [控制台],網域會將 PRIVWKSTN 將電腦加入到 priv.contoso.local 網域。 此步驟需要提供PRIV網域系統管理員認證。 完成此動作後,重新啟動電腦 PRIVWKSTN。
安裝適用於 64 位 Windows 的 Visual C++ 2013 可轉散發套件 。
如需詳細資訊,請參閱 Privileged Access Workstations (特殊權限存取工作站)。
在下一個步驟中,您將準備 PAM 伺服器。