Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce scénario active MIM 2016 SP2 pour le scénario PAM à l’aide de fonctionnalités de Windows Server 2016 ou version ultérieure en tant que contrôleur de domaine pour la forêt « PRIV ». Lorsque ce scénario est configuré, le ticket Kerberos d’un utilisateur sera limité au temps restant de ses activations de rôle.
Préparation
Au moins deux machines virtuelles sont requises pour l’environnement lab :
La machine virtuelle héberge le contrôleur de domaine PRIV, exécutant Windows Server 2016 ou version ultérieure
La machine virtuelle héberge le service MIM, exécutant Windows Server 2016 ou version ultérieure
Remarque
Si vous n’avez pas encore de domaine « CORP » dans votre environnement lab, un contrôleur de domaine supplémentaire pour ce domaine est requis. Le contrôleur de domaine « CORP » peut exécuter Windows Server 2016 ou Windows Server 2012 R2.
Effectuez l’installation comme décrit dans le guide de prise en main, sauf indiqué ci-dessous :
Si vous créez un domaine CORP, lorsque vous suivez les instructions de l’étape 1 : préparez le contrôleur de domaine CORP, vous pouvez choisir de configurer éventuellement le domaine CORP au niveau fonctionnel de Windows Server 2016. Si vous choisissez cette option, effectuez les ajustements suivants :
Si vous utilisez le support Windows Server 2016, l’option d’installation est appelée Windows Server 2016 (Serveur avec Expérience utilisateur).
Vous pouvez spécifier le niveau fonctionnel Windows Server 2016 pour la forêt et le domaine CORP en fournissant 7 comme numéro de version de domaine et de forêt dans l’argument à la commande Install-ADDSForest, comme suit :
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force –NoDnsOnNetworkDans « Créer des utilisateurs et des groupes », la commande finale (New-ADGroup -name 'CONTOSO$$$'...) n’est pas requise lorsque les contrôleurs de domaine CORP et PRIV sont au niveau fonctionnel du domaine Windows Server 2016.
Les modifications décrites dans « Configurer l’audit » (élément #8) et « Configurer les paramètres du Registre » (élément #10) sont recommandées, mais elles ne sont pas requises lorsque les contrôleurs de domaine CORP et PRIV sont au niveau fonctionnel du domaine Windows Server 2016.
Si vous choisissez d’utiliser Windows Server 2012 R2 comme système d’exploitation pour CORPDC, vous devez installer des correctifs logiciels 2919442, 2919355, et mettre à jour 3155495 sur CORPDC.
Suivez les instructions de l’étape 2 : préparer le contrôleur de domaine PRIV et vérifiez si vous utilisiez une version précédente du contenu pour effectuer ces ajustements :
Installez à l’aide du support Windows Server 2016. L’option d’installation sera appelée Windows Server 2016 (Server with Desktop Experience).
Dans les instructions « Ajouter des rôles » (élément n°4), vous devez spécifier les numéros de version de domaine et de forêt dans la quatrième ligne des commandes PowerShell à 7, pour autoriser les fonctionnalités Windows Server AD décrites plus tard à être activées.
Install-ADDSForest -DomainMode 7 -ForestMode 7 -DomainName priv.contoso.local -DomainNetbiosName priv -Force -CreateDNSDelegation -DNSDelegationCredential $caLors de la configuration des droits d’audit et d’ouverture de session, notez que le programme de gestion des stratégies de groupe se trouve dans le dossier Outils d’administration Windows.
La configuration des paramètres de Registre nécessaires pour la migration de l’historique SID (élément n° 8) n’est plus nécessaire lorsque le domaine PRIV est au niveau fonctionnel du domaine Windows Server 2016.
Après avoir configuré la délégation et avant de redémarrer le serveur, activez les fonctionnalités Privileged Access Management dans Windows Server 2016 Active Directory en lançant une fenêtre PowerShell en tant qu’administrateur et en tapant les commandes suivantes.
$of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'" Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"Après avoir configuré la délégation et avant de redémarrer le serveur, autorisez les administrateurs MIM et le compte de service MIM à créer et mettre à jour des principaux fantômes.
a. Lancez une fenêtre PowerShell et tapez ADSIEdit.
b. Ouvrez le menu Actions, cliquez sur « Se connecter à ». Dans les paramètres du point de connexion, changez le « Contexte de nommage par défaut » en « Configuration », puis cliquez sur OK.
c. Après la connexion, sur le côté gauche de la fenêtre sous « ADSI Edit », développez le nœud Configuration pour afficher « CN=Configuration, DC=priv,.... ». Développez CN=Configuration, puis développez CN=Services.
d. Cliquez avec le bouton droit sur « CN=Shadow Principal Configuration », puis cliquez sur Propriétés. Lorsque la boîte de dialogue propriétés s’affiche, accédez à l’onglet Sécurité.
e. Cliquez sur Ajouter. Spécifiez les comptes « MIMService », ainsi que tous les autres administrateurs MIM qui utiliseront par la suite la commande New-PAMGroup pour créer des groupes PAM supplémentaires. Pour chaque utilisateur, dans la liste des autorisations autorisées, ajoutez « Écrire », « Créer tous les objets enfants » et « Supprimer tous les objets enfants ». Ajoutez les autorisations.
f. Accédez aux paramètres Advanced Security. Sur la ligne qui autorise l’accès À MIMService, cliquez sur Modifier. Remplacez le paramètre « S’applique à » par « à cet objet et tous les objets descendants ». Mettez à jour ce paramètre d’autorisation et fermez la boîte de dialogue sécurité.
g. Fermez ADSI Edit.
Après avoir configuré la délégation et avant de redémarrer le serveur, autorisez les administrateurs MIM à créer et mettre à jour la stratégie d’authentification.
a. Lancez une Invite de commandes avec élévation de privilèges et saisissez les commandes suivantes, en substituant le nom de votre compte d’administrateur MIM par « mimadmin » dans chacune des quatre lignes :
dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
Suivez les instructions de l’étape 3 : préparer un serveur PAM.
Notez que lors de l’installation sur Windows Server 2016, le rôle « ApplicationServer » n’est plus disponible.
Si vous installez MIM sur Windows Server 2016, il n’est pas possible d’installer SharePoint 2013. Si vous souhaitez utiliser le portail MIM, vous devez utiliser une version ultérieure de SharePoint.
Suivez les instructions de l’étape 4 : installez les composants MIM sur le serveur PAM et la station de travail, avec ces ajustements.
L’utilisateur qui installe le service MIM et les composants PAM doivent avoir un accès en écriture au domaine PRIV dans AD, car l’installation de MIM crée une nouvelle unité d’organisation AD « objets PAM ».
Si SharePoint n’est pas installé, n’installez pas le portail MIM.
Suivez les instructions de l’étape 5 : Établissez l’approbation avec ces ajustements :
- Lors de l’établissement d’une approbation unidirectionnelle, effectuez uniquement les deux premières commandes PowerShell (get-credential et New-PAMTrust), vous n’effectuez pas la commande New-PAMDomainConfiguration. Au lieu de cela, après avoir établi une approbation, connectez-vous à PRIVDC en tant que PRIV\Administrator, lancez PowerShell et tapez les commandes suivantes :
netdom trust contoso.local /domain:priv.contoso.local /enablesidhistory:yes /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /quarantine:no /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /enablepimtrust:yes /usero:contoso\administrator /passwordo:Pass@word1
- Lors de l’établissement d’une approbation unidirectionnelle, effectuez uniquement les deux premières commandes PowerShell (get-credential et New-PAMTrust), vous n’effectuez pas la commande New-PAMDomainConfiguration. Au lieu de cela, après avoir établi une approbation, connectez-vous à PRIVDC en tant que PRIV\Administrator, lancez PowerShell et tapez les commandes suivantes :
L’élément n°5 (vérification de l’approbation) n’est plus nécessaire lorsque les domaines CORP et PRIV sont au niveau fonctionnel du domaine Windows Server 2016.