Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans cette étape, vous allez préparer l'environnement qui sera hébergé et géré par PAM. Si nécessaire, vous allez également créer un contrôleur de domaine et une station de travail membre dans un nouveau domaine et une forêt (la forêt CORP). L’accès à cette forêt se fera à partir des identités à gérer par l’environnement bastion, avec une forêt PRIV, créée à l’étape suivante. Cette forêt CORP simule une forêt existante qui a des ressources à gérer. Ce document inclut un exemple de ressource à protéger, un partage de fichiers.
Si vous disposez déjà d’un domaine Active Directory (AD) existant avec un contrôleur de domaine exécutant Windows Server 2012 R2 ou version ultérieure, où vous êtes administrateur de domaine, vous pouvez utiliser ce domaine à la place et passer à la section « Créer un groupe » dans cet article.
Préparer le contrôleur de domaine CORP
Cette section explique comment configurer un contrôleur de domaine pour un domaine CORP. Dans le domaine CORP, les utilisateurs administratifs sont gérés par l’environnement bastion. Le nom DNS (Domain Name System) du domaine CORP utilisé dans cet exemple est contoso.local.
Installer Windows Server
Installez Windows Server 2016 ou version ultérieure sur une machine virtuelle pour créer un ordinateur appelé CORPDC.
Choisissez Windows Server 2016 (Serveur avec Expérience utilisateur).
Passez en revue et acceptez les termes du contrat de licence.
Étant donné que le disque est vide, sélectionnez Personnalisé : Installez Windows uniquement et utilisez l’espace disque non initialisé.
Connectez-vous à ce nouvel ordinateur en tant qu’administrateur. Accédez au Panneau de configuration. Définissez le nom de l’ordinateur sur CORPDCet attribuez-lui une adresse IP statique sur le réseau virtuel. Redémarrez le serveur.
Une fois le serveur redémarré, connectez-vous en tant qu’administrateur. Accédez au Panneau de configuration. Configurez l’ordinateur pour rechercher les mises à jour et installer les mises à jour nécessaires. Redémarrez le serveur.
Ajouter des rôles pour établir un contrôleur de domaine
Dans cette section, vous allez configurer le nouveau Serveur Windows pour devenir un contrôleur de domaine. Vous allez ajouter les rôles Services de domaine Active Directory (AD DS), serveur DNS et serveur de fichiers (partie de la section Services de fichiers et de stockage) et promouvoir ce serveur vers un contrôleur de domaine d’une nouvelle forêt contoso.local.
Remarque
Si vous avez déjà un domaine à utiliser comme domaine CORP et que ce domaine utilise Windows Server 2012 R2 ou version ultérieure comme niveau fonctionnel de domaine, vous pouvez passer à Créer des utilisateurs et des groupes supplémentaires à des fins de démonstration.
Lors de la connexion en tant qu’administrateur, lancez PowerShell.
Tapez les commandes suivantes.
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetworkLe système vous invitera à fournir un mot de passe d'administrateur en mode sans échec. Notez que les messages d’avertissement pour les paramètres de délégation DNS et de chiffrement s’affichent. C’est normal.
Une fois la création de la forêt terminée, déconnectez-vous. Le serveur redémarre automatiquement.
Une fois le serveur redémarré, connectez-vous à CORPDC en tant qu’administrateur du domaine. Il s’agit généralement de l’utilisateur CONTOSO\Administrator, qui aura le mot de passe créé lors de l’installation de Windows sur CORPDC.
Installer les mises à jour (Windows Server 2012 R2 uniquement)
- Si vous choisissez d’utiliser Windows Server 2012 R2 comme système d’exploitation pour CORPDC, vous devez installer des correctifs logiciels 2919442, 2919355, et mettre à jour 3155495 sur CORPDC.
Créer un groupe
Créez un groupe à des fins d’audit par Active Directory, si le groupe n’existe pas déjà. Le nom du groupe doit être le nom de domaine NetBIOS suivi de trois signes de dollar, par exemple CONTOSO$$$.
Pour chaque domaine, connectez-vous à un contrôleur de domaine en tant qu’administrateur de domaine et effectuez les étapes suivantes :
Lancez PowerShell.
Tapez les commandes suivantes, mais remplacez « CONTOSO » par le nom NetBIOS de votre domaine.
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
Dans certains cas, le groupe peut déjà exister , c’est normal si le domaine a également été utilisé dans les scénarios de migration AD.
Créer des utilisateurs et des groupes supplémentaires à des fins de démonstration
Si vous avez créé un domaine CORP, vous devez créer des utilisateurs et des groupes supplémentaires pour démontrer le scénario PAM. L’utilisateur et le groupe à des fins de démonstration ne doivent pas être des administrateurs de domaine ni contrôlés par les paramètres adminSDHolder dans AD.
Remarque
Si vous disposez déjà d’un domaine que vous utiliserez comme domaine CORP et qu’il dispose d’un utilisateur et d’un groupe que vous pouvez utiliser à des fins de démonstration, vous pouvez passer à la section Configurer l’audit.
Nous allons créer un groupe de sécurité nommé CorpAdmins et un utilisateur nommé Jen. Vous pouvez utiliser différents noms si vous le souhaitez. Si vous disposez déjà d’un utilisateur existant, par exemple avec une carte à puce, vous n’aurez pas besoin de créer un utilisateur.
Lancez PowerShell.
Tapez les commandes suivantes. Remplacez le mot de passe « Pass@word1 » par une chaîne de mot de passe différente.
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
Configurer l’audit
Vous devez activer l’audit dans les forêts existantes pour établir la configuration PAM sur ces forêts.
Pour chaque domaine, connectez-vous à un contrôleur de domaine en tant qu’administrateur de domaine et effectuez les étapes suivantes :
Accédez à Démarrer>Outils d’administration Windows, puis lancez Gestion des stratégies de groupe.
Accédez à la stratégie des contrôleurs de domaine pour ce domaine. Si vous avez créé un domaine pour contoso.local, accédez à Forêt : contoso.local>Domaines>contoso.local>Contrôleurs de domaine>Stratégie de contrôleurs de domaine par défaut. Un message d’information s’affiche.
Cliquez avec le bouton droit sur stratégie de contrôleurs de domaine par défaut, puis sélectionnez Modifier. Une nouvelle fenêtre s’affiche.
Dans la fenêtre Éditeur de gestion des stratégies de groupe, sous l’arborescence Stratégie des contrôleurs de domaine par défaut, accédez à Configuration de l’ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité>Stratégies locales>Stratégie d’audit.
Dans le volet d’informations, cliquez avec le bouton droit sur Gestion des comptes d’audit, puis sélectionnez Propriétés. Sélectionnez Définir ces paramètres de stratégie, cochez Réussite, cochez Échec, cliquez sur Appliquer et OK.
Dans le volet d’informations, cliquez avec le bouton droit sur Auditer l’accès au service d’annuaire, puis sélectionnez Propriétés. Sélectionnez Définir ces paramètres de stratégie, cochez Réussite, cochez Échec, cliquez sur Appliquer et OK.
Fermez la fenêtre Éditeur de gestion des stratégies de groupe et la fenêtre Gestion des stratégies de groupe.
Appliquez les paramètres d’audit en lançant une fenêtre PowerShell et en tapant :
gpupdate /force /target:computer
Le message La mise à jour de la stratégie d’ordinateur s’est terminée sans erreur devrait apparaître après quelques minutes.
Configurer les paramètres du Registre
Dans cette section, vous allez configurer les paramètres de Registre nécessaires à la migration de l’historique sID, qui seront utilisés pour la création du groupe Privileged Access Management.
Lancez PowerShell.
Tapez les commandes suivantes pour configurer le domaine source pour autoriser l’accès à l’appel de procédure distante (RPC) à la base de données du gestionnaire de comptes de sécurité (SAM).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
Cela redémarre le contrôleur de domaine, CORPDC. Pour plus d’informations sur ce paramètre de Registre, consultez Comment résoudre les problèmes de migration entre forêts sIDHistory avec ADMTv2.
Préparer une ressource CORP à des fins de démonstration
Vous aurez besoin d’au moins une ressource dans le domaine pour démontrer le contrôle d’accès basé sur un groupe de sécurité avec PAM. Si vous n’avez pas encore de ressource, vous pouvez utiliser un dossier de fichiers sur un serveur joint au domaine CORP à des fins de démonstration. Cela utilise les objets AD « Jen » et « CorpAdmins » que vous avez créés dans le domaine contoso.local.
Connectez-vous au serveur en tant qu’administrateur.
Créez un dossier nommé CorpFS et partagez-le avec le groupe CorpAdmins. Ouvrez PowerShell en tant qu’administrateur et tapez les commandes suivantes.
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $aclComme l’utilisateur PRIV se connecte à ce serveur à partir d’une autre forêt, vous devrez peut-être modifier la configuration de votre pare-feu sur ce serveur pour permettre à l’ordinateur de l’utilisateur de se connecter à ce serveur.
À l’étape suivante, vous allez préparer le contrôleur de domaine PRIV.