Schritt 1: Vorbereiten des Hosts und der CORP-Domäne

Schritt 2 »

In diesem Schritt bereiten Sie das Hosten der Umgebung vor, die von PAM verwaltet wird. Bei Bedarf erstellen Sie auch einen Domänencontroller und eine Mitgliedsarbeitsstation in einer neuen Domäne und Gesamtstruktur ( corp-Gesamtstruktur). Der Zugriff auf diese Gesamtstruktur erfolgt über Identitäten, die von der Bastionumgebung verwaltet werden sollen, wobei im nächsten Schritt eine PRIV-Gesamtstruktur erstellt wird. Die CORP-Gesamtstruktur simuliert eine vorhandene Gesamtstruktur, die zu verwaltende Ressourcen enthält. Dieses Dokument enthält eine Beispielressource, die geschützt werden soll: eine Dateifreigabe.

Wenn Sie bereits über eine vorhandene Active Directory-Domäne (AD) mit einem Domänencontroller verfügen, der Windows Server 2012 R2 oder höher ausgeführt wird und Sie domänenadministrator sind, können Sie stattdessen diese Domäne verwenden und mit dem Abschnitt "Erstellen einer Gruppe" in diesem Artikel fortfahren.

Vorbereiten des CORP-Domänencontrollers

Dieser Abschnitt erläutert, wie Sie einen Domänencontroller für eine CORP-Domäne einrichten. In der CORP-Domäne werden Administratoren von der geschützten Umgebung verwaltet. Der in diesem Beispiel verwendete DNS-Name (Domain Name System) der CORP-Domäne lautet contoso.local.

Installieren von Windows Server

Installieren Sie Windows Server 2016 oder höher auf einem virtuellen Computer, um einen Computer namens CORPDC zu erstellen.

1. Wählen Sie Windows Server 2016 (Server mit Desktopdarstellung) aus.

2. Lesen und akzeptieren Sie die Lizenzbedingungen.

3. Da dieser Datenträger leer sein wird, wählen Sie Benutzerdefiniert: Nur Windows installieren aus, und nutzen Sie den nicht initialisierten Speicherplatz.

4. Melden Sie sich bei dem neuen Computer als Administrator an. Wechseln Sie zur Systemsteuerung. Legen Sie den Computernamen auf CORPDC fest, und weisen Sie ihm eine statische IP-Adresse im virtuellen Netzwerk zu. Starten Sie den Server neu.

5. Nachdem der Server neu gestartet wurde, melden Sie sich als Administrator an. Wechseln Sie zur Systemsteuerung. Konfigurieren Sie den Computer für die Suche nach Updates, und installieren Sie alle erforderlichen Updates. Starten Sie den Server neu.

Hinzufügen von Rollen zum Einrichten eines Domänencontrollers

In diesem Abschnitt richten Sie den neuen Windows Server als Domänencontroller ein. Sie fügen die Rollen Active Directory Domain Services (AD DS), DNS-Server und Dateiserver (Teil des Abschnitts Datei- und Speicherdienste) hinzu und stufen diesen Server zu einem Domänencontroller der neuen Gesamtstruktur contoso.local her.

Hinweis

Wenn Sie bereits über eine Domäne verfügen, die als CORP-Domäne verwendet werden kann, und diese Domäne Windows Server 2012 R2 oder höher als Domänenfunktionsebene verwendet, können Sie mit Erstellen zusätzlicher Benutzer und Gruppen zu Demonstrationszwecken fortfahren.

1. Starten Sie PowerShell, während Sie als Administrator angemeldet sind.

2. Geben Sie die folgenden Befehle ein.

   import-module ServerManager
   
   Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools
   
   Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
   

   Dies führt zu der Aufforderung, ein Administratorkennwort für den abgesicherten Modus zu verwenden. Beachten Sie, dass Fehlermeldungen für die DNS-Delegierung und Kryptografieeinstellungen angezeigt werden. Diese sind normal.

3. Melden Sie sich nach Abschluss der Gesamtstrukturerstellung ab. Der Server wird automatisch neu gestartet.

4. Nachdem der Server neu gestartet wurde, melden Sie sich als Administrator der Domäne bei CORPDC an. Dies ist in der Regel der Benutzer CONTOSO\Administrator, der über das Kennwort verfügt, das bei der Installation von Windows auf CORPDC erstellt wurde.

Installieren von Updates (nur Windows Server 2012 R2)

1. Wenn Sie Windows Server 2012 R2 als Betriebssystem für CORPDC verwenden, müssen Sie die Hotfixes 2919442, 2919355, und das Update 3155495 auf CORPDC installieren.

Erstellen einer Gruppe

Erstellen Sie eine Gruppe zur Überwachung durch Active Directory, wenn diese Gruppe nicht bereits vorhanden ist. Der Name der Gruppe muss der NetBIOS-Domänenname gefolgt von drei Dollarzeichen sein, z. B. CONTOSO$$$.

Melden Sie sich in jeder Domäne als Domänenadministrator bei einem Domänencontroller an, und führen Sie die folgenden Schritte aus:

1. Starten Sie PowerShell.

2. Geben Sie die folgenden Befehle ein, aber ersetzen Sie „CONTOSO“ durch den NetBIOS-Namen Ihrer Domäne.

   import-module activedirectory
   
   New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
   

In einigen Fällen ist die Gruppe möglicherweise bereits vorhanden. Dies ist normal, wenn die Domäne auch in AD-Migrationsszenarien verwendet wurde.

Erstellen weiterer Benutzer und Gruppen zu Demonstrationszwecken

Wenn Sie eine neue CORP-Domäne erstellt haben, sollten Sie zur Demonstration des PAM-Szenarios weitere Benutzer und Gruppen erstellen. Die zu Demonstrationszwecken erstellten Benutzer und Gruppen dürfen keine Domänenadministratoren sein und nicht durch die adminSDHolder-Einstellungen in AD gesteuert werden.

Hinweis

Wenn Sie bereits über eine Domäne verfügen, die Sie als CORP-Domäne verwenden und über einen Benutzer und eine Gruppe verfügen, die Sie zu Demonstrationszwecken verwenden können, können Sie mit dem Abschnitt Konfigurieren der Überwachung fortfahren.

Wir erstellen eine Sicherheitsgruppe namens CorpAdmins und einen Benutzer namens Jen. Sie können auch andere Namen verwenden. Wenn Sie bereits über einen vorhandenen Benutzer verfügen, z. B. mit einer Smartcard, müssen Sie keinen neuen Benutzer erstellen.

1. Starten Sie PowerShell.

2. Geben Sie die folgenden Befehle ein. Ersetzen Sie das Kennwort „Pass@word1“ durch eine andere Kennwortzeichenfolge.

   import-module activedirectory
   
   New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins
   
   New-ADUser –SamAccountName Jen –name Jen
   
   Add-ADGroupMember –identity CorpAdmins –Members Jen
   
   $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   Set-ADAccountPassword –identity Jen –NewPassword $jp
   
   Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
   

Konfigurieren der Überwachung

Sie müssen die Überwachung in vorhandenen Gesamtstrukturen aktivieren, um die PAM-Konfiguration in diesen Gesamtstrukturen einzurichten.

Melden Sie sich in jeder Domäne als Domänenadministrator bei einem Domänencontroller an, und führen Sie die folgenden Schritte aus:

1. Wechseln SiezuWindows-Verwaltung starten>, und starten Sie Gruppenrichtlinie Verwaltung.

2. Navigieren Sie zur Domänencontrollerrichtlinie für diese Domäne. Wenn Sie eine neue Domäne für contoso.local erstellt haben, navigieren Sie zu Gesamtstruktur: contoso.local>Domänen>contoso.local>Domänencontroller>Standard-Domänencontrollerrichtlinie. Es wird eine Informationsmeldung angezeigt.

3. Klicken Sie mit der rechten Maustaste auf Standarddomänencontroller-Richtlinie, und wählen Sie Bearbeiten aus. Es wird ein neues Fenster angezeigt.

4. Navigieren Sie im Fenster Gruppenrichtlinie Verwaltungs-Editor unter der Richtlinienstruktur Standarddomänencontroller zu Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Überwachungsrichtlinie.

5. Klicken Sie im Detailbereich mit der rechten Maustaste auf Kontenverwaltung überwachen, und wählen Sie den Befehl Eigenschaften aus. Wählen Sie Diese Richtlinieneinstellungen definieren aus, aktivieren Sie das Kontrollkästchen Erfolg und das Kontrollkästchen Fehler, und klicken Sie anschließend auf Übernehmen und OK.

6. Klicken Sie im Detailbereich mit der rechten Maustaste auf Verzeichnisdienstzugriff überwachen, und wählen Sie den Befehl Eigenschaften aus. Wählen Sie Diese Richtlinieneinstellungen definieren aus, aktivieren Sie das Kontrollkästchen Erfolg und das Kontrollkästchen Fehler, und klicken Sie anschließend auf Übernehmen und OK.

7. Schließen Sie die Fenster „Gruppenrichtlinienverwaltungs-Editor“ und „Gruppenrichtlinienverwaltung“.

8. Wenden Sie die Überwachungseinstellungen an, indem Sie ein PowerShell-Fenster starten und Folgendes eingeben:

   gpupdate /force /target:computer
   

Nach wenigen Minuten sollte die Meldung Die Aktualisierung der Computerrichtlinie wurde erfolgreich abgeschlossen angezeigt werden.

Konfigurieren der Registrierungseinstellungen

In diesem Abschnitt konfigurieren Sie die Registrierungseinstellungen, die für die Migration des sID-Verlaufs erforderlich sind, die für die Erstellung von Privileged Access Management-Gruppen verwendet werden.

1. Starten Sie PowerShell.

2. Geben Sie die folgenden Befehle ein, um die Quelldomäne so zu konfigurieren, dass RPC-Zugriff (Remote Procedure Call, Remoteprozeduraufruf) auf die SAM-Datenbank (Security Accounts Manager, Sicherheitskontenverwaltung) zugelassen wird.

   New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
   
   Restart-Computer
   

Dadurch wird der Domänencontroller CORPDC neu gestartet. Weitere Informationen zu dieser Registrierungseinstellung finden Sie unter How to troubleshoot inter-forest sIDHistory migration with ADMTv2 (Problembehandlung der sIDHistory-Migration zwischen Gesamtstrukturen mit ADMTv2).

Vorbereiten einer CORP-Ressource für Demonstrationszwecke

Sie benötigen mindestens eine Ressource in der Domäne, um die sicherheitsgruppenbasierte Zugriffssteuerung mit PAM zu demonstrieren. Wenn Sie noch nicht über eine Ressource verfügen, können Sie zu Demonstrationszwecken einen Dateiordner auf einem Server verwenden, der mit der CORP-Domäne verknüpft ist. Hierbei werden die AD-Objekte „Jen“ und „CorpAdmins“ verwendet, die Sie in der Domäne „contoso.local“ erstellt haben.

1. Stellen Sie als Administrator eine Verbindung mit dem Server her.

2. Erstellen Sie einen neuen Ordner namens CorpFS, und geben Sie ihn für die Gruppe CorpAdmins frei. Öffnen Sie PowerShell als Administrator, und geben Sie die folgenden Befehle ein.

   mkdir c:\corpfs
   
   New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins
   
   $acl = Get-Acl c:\corpfs
   
   $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")
   
   $acl.SetAccessRule($car)
   
   Set-Acl c:\corpfs $acl
   

3. Da der PRIV-Benutzer von einer anderen Gesamtstruktur aus eine Verbindung mit diesem Server herstellt, müssen Sie möglicherweise Ihre Firewallkonfiguration auf diesem Server ändern, damit der Computer des Benutzers eine Verbindung mit diesem Server herstellen kann.

Im nächsten Schritt bereiten Sie den PRIV-Domänencontroller vor.

Schritt 2 »