Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este paso, se preparará para hospedar un entorno que será administrado por PAM. Si es necesario, también creará un controlador de dominio y una estación de trabajo miembro en un nuevo dominio y bosque (el bosque de CORP). El acceso a ese bosque será desde identidades que administrará el entorno bastión, con un bosque del tipo PRIV, creado en el siguiente paso. Este bosque de CORP simula un bosque existente que cuenta con recursos para gestionar. Este documento incluye un recurso de ejemplo que se debe proteger: un archivo compartido.
Si usted ya cuenta con un dominio de Active Directory (AD) existente con un controlador de dominio que ejecute Windows Server 2012 R2 o posterior, y si actúa como administrador del dominio, puede utilizar ese dominio en su lugar y avanzar directamente a la sección "Crear un grupo" de este artículo.
Preparación del controlador de dominio de CORP
Esta sección describe cómo configurar un controlador de dominio para un dominio de CORP. En el dominio de CORP, el entorno bastión gestionará a los usuarios administrativos. El nombre de sistema de nombres de dominio (DNS) del dominio de CORP que se usa en este ejemplo es contoso.local.
Instalación de Windows Server
Instale Windows Server 2016 o posterior en una máquina virtual para crear un equipo llamado CORPDC.
Seleccione Windows Server 2016 (Servidor con experiencia de escritorio).
Revise los términos de licencia y acéptelos.
Dado que el disco estará vacío, seleccione Personalizado: instalar solo Windows para utilizar el espacio en disco no inicializado.
Inicie sesión en ese nuevo equipo como su administrador. Vaya al Panel de control. Asigne al equipo el nombre CORPDC y asígnele una dirección IP estática en la red virtual. Reinicie el servidor.
Una vez que el servidor haya reiniciado, inicie sesión como administrador. Vaya al Panel de control. Configure el equipo para que verifique actualizaciones e instale las actualizaciones necesarias. Reinicie el servidor.
Adición de roles para establecer un controlador de dominio
En esta sección, usted configurará el nuevo Windows Server para convertirlo en un controlador de dominio. Agregará los roles Active Directory Domain Services (AD DS), Servidor DNS y Servidor de archivos (parte de la sección Servicios de archivos y almacenamiento) y promoverá este servidor a un controlador de dominio de un nuevo bosque contoso.local.
Nota:
Si usted ya cuenta con un dominio que usará como su dominio de CORP, y ese dominio utiliza Windows Server 2012 R2 o posterior como su nivel funcional de dominio, puede avanzar a Crear usuarios y grupos adicionales para fines de demostración.
Mientras se encuentra conectado como administrador, inicie PowerShell.
Escriba los siguientes comandos:
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
Se le solicitará una contraseña para el administrador del modo seguro. Tenga en cuenta que aparecerán mensajes de advertencia de delegación de DNS y configuración de criptografía. Estos mensajes son normales.
Cuando se haya terminado de crear el bosque, cierre la sesión. El servidor se reiniciará automáticamente.
Después del reinicio, inicie sesión en CORPDC como administrador del dominio. Por lo general, se trata del usuario CONTOSO\Administrator, que tendrá la contraseña creada durante la instalación de Windows en CORPDC.
Instalación de actualizaciones (solo para Windows Server R)
- Si decide usar Windows Server 2012 R2 como el sistema operativo para CORPDC, debe instalar las actualizaciones rápidas 2919442, 2919355 y la actualización 3155495 en CORPDC.
Creación de un grupo
Cree un grupo para fines de auditoría de Active Directory, si el grupo no existe. El nombre del grupo debe ser el nombre de NetBIOS del dominio seguido de tres signos de dólar. Por ejemplo: CONTOSO$$$.
Para cada dominio, inicie sesión en un controlador de dominio como administrador del dominio y realice los siguientes pasos:
Inicie PowerShell.
Escriba los siguientes comandos, pero reemplace "CONTOSO" con el nombre de NetBIOS de su dominio.
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
En algunos casos, es posible que el grupo ya exista; esto es normal si el dominio también se usó en escenarios de migración de AD.
Creación de usuarios y grupos adicionales para fines de demostración
Si usted creó un nuevo dominio de CORP, entonces deberá crear usuarios y grupos adicionales para demostrar el escenario de PAM. El usuario y el grupo para demostración no deben tener privilegios de administrador del dominio ni estar controlados por la configuración de adminSDHolder en AD.
Nota:
Si ya cuenta con un dominio que utilizará como dominio de CORP, y ese dominio ya incluye un usuario y un grupo que puede utilizar para la demostración, entonces puede avanzar a la sección Configurar auditoría.
Se creará un grupo de seguridad llamado CorpAdmins y un usuario llamado Jen. Puede utilizar nombres diferentes, si lo prefiere. Si ya cuenta con un usuario existente, por ejemplo uno con una tarjeta inteligente, entonces no será necesario crear uno nuevo.
Inicie PowerShell.
Escriba los siguientes comandos: Reemplace la contraseña 'Pass@word1' por una cadena de contraseña diferente.
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
Configuración de la auditoría
Debe habilitar la auditoría en bosques existentes para establecer la configuración de PAM en esos bosques.
Para cada dominio, inicie sesión en un controlador de dominio como administrador del dominio y realice los siguientes pasos:
Vaya a Iniciar>Herramientas administrativas de Windows e inicie Administración de directivas de grupo.
Vaya a la directiva de controladores de dominio para este dominio. Si creó un nuevo dominio para contoso.local, vaya a Bosque: contoso.local>Dominios>contoso.local>Controladores de dominio>Directiva predeterminada de controladores de dominio. Aparece un mensaje informativo.
Haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y seleccione Editar. Aparece una nueva ventana.
En la ventana Editor de administración de directivas de grupo, en el árbol Directiva predeterminada de controladores de dominio, vaya a Configuración del equipo>Directivas>Configuración de Windows>Configuración de seguridad>Directivas locales>Directiva de auditoría.
En el panel de detalles, haga clic con el botón derecho en Auditar la administración de cuentas y seleccione Propiedades. Seleccione Definir esta configuración de directiva, marque la casilla en Éxito, marque la casilla en Fallo, haga clic en Aplicar y Aceptar.
En el panel de detalles, haga clic con el botón derecho en Auditar acceso al servicio de directorio y seleccione Propiedades. Seleccione Definir esta configuración de directiva, marque la casilla en Éxito, marque la casilla en Fallo, haga clic en Aplicar y Aceptar.
Cierre la ventana del Editor de administración de directivas de grupo y la ventana de Administración de directivas de grupo.
Para aplicar la configuración de auditoría, inicie una ventana de PowerShell y escriba:
gpupdate /force /target:computer
El mensaje La actualización de la directiva de equipo se completó correctamente debería aparecer pasados unos minutos.
Configuración del registro
En esta sección, usted configurará las entradas del registro necesarias para la migración de sIDHistory, que se utilizará para la creación de grupos de Privileged Access Management.
Inicie PowerShell.
Escriba los siguientes comandos para configurar el dominio de origen y permitir el acceso de llamada a procedimiento remoto (RPC) a la base de datos del administrador de cuentas de seguridad (SAM).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
Este procedimiento reiniciará el controlador de dominio, CORPDC. Para obtener más información sobre esta configuración del registro, consulte Cómo solucionar problemas de migración de sIDHistory entre bosques con ADMTv2.
Preparación de un recurso de CORP para fines de demostración
Usted necesitará al menos un recurso en el dominio para demostrar el control de acceso basado en grupos de seguridad con PAM. Si aún no cuenta con un recurso, puede utilizar una carpeta de archivos en un servidor unido al dominio de CORP para fines de demostración. Utilizará los objetos de AD "Jen" y "CorpAdmins" que creó en el dominio contoso.local.
Conéctese al servidor como administrador.
Cree una nueva carpeta llamada CorpFS y compártala con el grupo CorpAdmins. Abra PowerShell como administrador y escriba los siguientes comandos.
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $acl
Dado que el usuario PRIV se conectará a este servidor desde otro bosque, es posible que usted deba modificar la configuración del firewall en este servidor para permitir que el equipo del usuario pueda conectarse a él.
En el siguiente paso, preparará el controlador de dominio PRIV.