步驟 6 – 將群組轉換到權限存取管理
要在 PRIV 樹系中建立權限帳戶,必須使用 PowerShell Cmdlet。 這些 Cmdlet 會執行下列功能:
- 在 PRIV 樹系中使用和 CORP 樹系群組相同的安全性識別碼 (SID) 建立新群組。
- 在 MIM 服務資料庫中建立對應至 PRIV 樹系群組的物件。
- 每個使用者帳戶會在 MIM 服務資料庫中建立兩個物件,對應至 CORP 樹系中的使用者,和 PRIV 樹系中新的使用者帳戶。
- 在 MIM 服務資料庫中建立 [PAM 角色] 物件。
必須為每個群組執行一次 Cmdlet,並為群組中每個成員執行一次。 移轉 Cmdlet 不會變更或修改 CORP 樹系中的任何使用者或群組:PAM 系統管理員需要在之後以手動方式完成此動作。
可直接登入 PAMSRV,或從 PRIV 工作站 PRIV\MIMAdmin 登入。
啟動 PowerShell,並輸入下列命令。
Import-Module MIMPAM
Import-Module ActiveDirectory
為現有樹系中的使用者帳戶在 PRIV 內建立對應的使用者帳戶,以供示範之用。
將下列命令輸入至 PowerShell。 如果您稍早未在 contoso.local 中使用名稱 Jen 來建立使用者,則請視情況變更命令的參數。 密碼 'Pass@word1' 只是一個範例,並應該變更為唯一的密碼值。
$sj = New-PAMUser –SourceDomain CONTOSO.local –SourceAccountName Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity priv.Jen –NewPassword $jp Set-ADUser –identity priv.Jen –Enabled 1將群組和其成員 Jen 複製至 CONTOSO PRIV 網域,以供示範之用。
執行下列命令,以在系統提示時指定 CORP 網域系統管理員 (CONTOSO\Administrator) 密碼:
$ca = get-credential –UserName CONTOSO\Administrator –Message "CORP forest domain admin credentials" $pg = New-PAMGroup –SourceGroupName "CorpAdmins" –SourceDomain CONTOSO.local –SourceDC CORPDC.contoso.local –Credentials $ca $pr = New-PAMRole –DisplayName "CorpAdmins" –Privileges $pg –Candidates $sj供您參考,New-PAMGroup 命令會使用下列參數:
- NetBIOS 表單中的 CORP 樹系網域名稱
- 要從該網域複製的群組名稱
- CORP 樹系的網域控制站 NetBIOS 名稱
- CORP 樹系中網域系統管理員使用者的認證
(選用) 在 CORPDC上,從 CONTOSO CorpAdmins 群組移除 Jen 的帳戶 (如果仍存在)。 這只是便於示範所需,以說明權限如何與 PRIV 樹系中建立的帳戶建立關聯。
以 CONTOSO\Administrator 的身分登入至 CORPDC。
啟動 PowerShell,執行下列命令並確認變更。
Remove-ADGroupMember -identity "CorpAdmins" -Members "Jen"
如果您想要示範跨樹系存取權限對使用者的系統管理員帳戶有效,請繼續進行下一個步驟。