Partager via

Étape 8 : Vérifier le déploiement PAM

  • Article

« Étape 7Addendum »

Le package de déploiement est accompagné de scripts de vérification qui peuvent exécuter un scénario PAM pour valider que le déploiement PAM fonctionne comme prévu. Pour utiliser la vérification du déploiement, modifiez la section PAMDeploymentConfig.xml appelée <PamValidation/> .

Notes

La validation nécessite qu’un domaine d’ordinateur client soit joint au domaine CORP avec les composants côté client PAM installés. Consultez l’Addenda pour obtenir des scripts d’installation d’un client.

Le nom de l’ordinateur client doit être mis à jour dans la <balise PAMValidationClient/> du PAMDeploymentConfig.xml Le reste des données du <nœud PAMValidation/> ne doit être modifié que s’il est en conflit avec les utilisateurs/groupes existants, car cette validation tentera de les créer. Utilisez les étapes suivantes pour effectuer la validation :

Étape 1 :

  1. Connectez-vous à CORPDC en tant qu’un administrateur de domaine CORP
  2. Exécutez PowerShell en tant qu’administrateur
  3. cd $env:SYSTEMDRIVE\PAM
  4. Import-module .\PAMValidation.psm1
  5. Create-PAMValidationonCORPDCConfig

Ceci permet de créer les groupes et les utilisateurs nécessaires à la validation

Étape 2 :

  1. Connectez-vous au serveur PAM en tant que MIMAdmin
  2. Exécutez PowerShell en tant qu’administrateur
  3. cd $env:SYSTEMDRIVE\PAM
  4. import-module .\PAMValidation.psm1
  5. move-PAMVAlidationUsersToPAM

Cette étape migre les utilisateurs et les groupes vers l’environnement PAM

Étape 3 :

  1. Connectez-vous au client CORP en tant qu'administrateur local
  2. Exécutez PowerShell en tant qu’administrateur
  3. cd $env:SYSTEMDRIVE\PAM
  4. import-module .\PAMValidation.psm1
  5. Enable-PAMUsersCORPClientRemote

Cette étape vous demande de fournir les informations d’identification CORPAdmin. Une fois ces informations fournies, les utilisateurs requis sont ajoutés aux groupes « Utilisateurs du Bureau à distance » et « Gestion à distance des utilisateurs ». Sur le client CORP, utilisez la commande suivante pour ouvrir PowerShell en tant que l’utilisateur PRIV que vous validez.

Runas /u:<PRIV domain>\PRIV.pamRequestor powershell.exe

Dans la fenêtre PowerShell, tapez :

  1. cd $env:SYSTEMDRIVE\PAM
  2. import-module .\PAMValidation.psm1
  3. test-PAMValidationScenarioNoApprovalRequest

Ceci affiche l’état de la demande. Initialement, l’utilisateur n’aura pas accès à la ressource. Une fois que l’utilisateur est ajouté de manière Juste-à-temps au rôle, l’accès lui est autorisé. Une fois que la durée de la demande expire, l’utilisateur n’aura de nouveau plus accès. Le script utilise la valeur par défaut (11 minutes) avant l’expiration de la demande.

« Étape 7Addendum »