Étape 2 : Préparer le contrôleur de domaine PRIV

« Étape 1Étape 3 »

Dans cette étape, vous allez créer un domaine qui fournira l’environnement bastion pour l’authentification de l’administrateur. Cette forêt a besoin d’au moins un contrôleur de domaine, d’une station de travail membre et d’au moins un serveur membre. Le serveur membre sera configuré à l’étape suivante.

Créer un contrôleur de domaine Privileged Access Management

Dans cette section, vous allez configurer une machine virtuelle pour qu’elle joue le rôle de contrôleur de domaine pour une nouvelle forêt.

Installer Windows Server 2016 ou version ultérieure

Sur une autre nouvelle machine virtuelle sans logiciel installé, installez Windows Server 2016 ou une version ultérieure pour créer un ordinateur « PRIVDC ».

1. Sélectionnez cette option pour effectuer une installation personnalisée (et non une mise à niveau) de Windows Server. Lors de l’installation, spécifiez Windows Server 2016 (Serveur avec expérience utilisateur) ; ne sélectionnez pasData Center ou Server Core.

2. Lisez et acceptez les termes du contrat de licence.

3. Comme le disque sera vide, sélectionnez Personnalisé : installer uniquement Windows et utilisez l’espace disque non initialisé.

4. Après avoir installé la version du système d’exploitation, connectez-vous à ce nouvel ordinateur comme nouvel administrateur. Utilisez Panneau de configuration pour définir le nom de l’ordinateur sur PRIVDC. Dans les paramètres réseau, attribuez-lui une adresse IP statique sur le réseau virtuel et configurez le serveur DNS pour qu’il soit celui du contrôleur de domaine installé à l’étape précédente. Vous devez redémarrer le serveur.

5. Une fois que le serveur a redémarré, connectez-vous en tant qu’administrateur. À l’aide du Panneau de configuration, configurez l’ordinateur pour vérifier les mises à jour, puis installez les mises à jour nécessaires. L’installation des mises à jour peut nécessiter un redémarrage du serveur.

Ajouter des rôles

Ajoutez les rôles Services de domaine Active Directory (AD DS) et Serveur DNS.

1. Lancez PowerShell en tant qu’administrateur.

2. Tapez les commandes suivantes pour préparer une installation de Windows Server Active Directory.

   import-module ServerManager
   
   Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
   

Configurer les paramètres du Registre pour la migration de l’historique des SID

Lancez PowerShell, puis tapez la commande suivante pour configurer le domaine source afin d’autoriser l’accès par appel de procédure distante (RPC) à la base de données du Gestionnaire de comptes de sécurité (SAM).

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Créer une forêt Privileged Access Management

Ensuite, promouvez le serveur en tant que contrôleur de domaine dans une nouvelle forêt.

Dans ce guide, le nom priv.contoso.local est utilisé comme nom de domaine de la nouvelle forêt. Le nom de la forêt n’est pas critique et il n’a pas besoin d’être subordonné à un nom de forêt existant dans le organization. Toutefois, le nom de domaine et le nom NetBIOS de la nouvelle forêt doivent être uniques et distincts de ceux de n’importe quel autre domaine de l’organisation.

Créer un domaine et une forêt

1. Dans une fenêtre PowerShell, tapez les commandes suivantes pour créer le domaine. Ces commandes créent également une délégation DNS dans un domaine supérieur (contoso.local), qui a été créé à une étape précédente. Si vous envisagez de configurer le système DNS plus tard, omettez les paramètres CreateDNSDelegation -DNSDelegationCredential $ca.

   $ca= get-credential
   Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca
   

2. Lorsque la fenêtre contextuelle s’affiche pour configurer la délégation DNS, fournissez les informations d’identification de l’administrateur de forêt CORP, qui était dans ce guide le nom d’utilisateur CONTOSO\Administrator et le mot de passe correspondant de l’étape 1.

3. La fenêtre PowerShell vous invite à fournir un mot de passe d’administrateur en mode sans échec. Entrez un nouveau mot de passe deux fois. Des messages d’avertissement relatifs aux paramètres de chiffrement et de délégation DNS vont s’afficher. C’est normal.

Une fois la forêt créée, le serveur redémarrera automatiquement.

Créer des comptes d’utilisateur et de service

Créez les comptes d’utilisateur et de service pour la configuration du Service et portail MIM. Ces comptes iront dans le conteneur Utilisateurs du domaine priv.contoso.local.

1. Une fois le serveur redémarré, connectez-vous à PRIVDC en tant qu’administrateur de domaine (PRIV\Administrator).

2. Lancez PowerShell et tapez les commandes suivantes. Le mot de passe « Pass@word1 » est juste un exemple. Vous devez utiliser un autre mot de passe pour les comptes.

   import-module activedirectory
   
   $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   New-ADUser –SamAccountName MIMMA –name MIMMA
   
   Set-ADAccountPassword –identity MIMMA –NewPassword $sp
   
   Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor
   
   Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp
   
   Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent
   
   Set-ADAccountPassword –identity MIMComponent –NewPassword $sp
   
   Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMSync –name MIMSync
   
   Set-ADAccountPassword –identity MIMSync –NewPassword $sp
   
   Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMService –name MIMService
   
   Set-ADAccountPassword –identity MIMService –NewPassword $sp
   
   Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName SharePoint –name SharePoint
   
   Set-ADAccountPassword –identity SharePoint –NewPassword $sp
   
   Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName SqlServer –name SqlServer
   
   Set-ADAccountPassword –identity SqlServer –NewPassword $sp
   
   Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
   
   Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
   
   Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
   
   New-ADUser -SamAccountName MIMAdmin -name MIMAdmin
   
   Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp
   
   Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1
   
   Add-ADGroupMember "Domain Admins" SharePoint
   
   Add-ADGroupMember "Domain Admins" MIMService
   

Configurez les droits d’audit et d’ouverture de session.

Vous devez configurer l’audit pour établir la configuration PAM entre les forêts.

1. Vérifiez que vous êtes connecté en tant qu’administrateur de domaine (PRIV\Administrator).

2. Accédez à Démarrer les>outils>d’administration Windows stratégie de groupe Management.

3. Accédez à Forêt : priv.contoso.local>Domains>priv.contoso.local>Domain Controllers Policy>. Un message d’avertissement apparaît.

4. Cliquez avec le bouton droit sur Stratégie des contrôleurs de domaine par défaut et sélectionnez Modifier.

5. Dans l’arborescence de la console de l’Éditeur de gestion stratégie de groupe, accédez à Configuration> de l’ordinateurStratégies>Windows Paramètres>de sécurité Paramètres>de sécurité Stratégies> localesStratégie d’audit.

6. Dans le volet d’informations, cliquez avec le bouton droit sur Auditer la gestion des comptes, puis sélectionnez Propriétés. Cliquez sur Définir ces paramètres de stratégie, cochez la case Réussite, la case Échec, cliquez sur Appliquer puis sur OK.

7. Dans le volet d’informations, cliquez avec le bouton droit sur Auditer l’accès au service d’annuaire, puis sélectionnez Propriétés. Cliquez sur Définir ces paramètres de stratégie, cochez la case Réussite, la case Échec, cliquez sur Appliquer puis sur OK.

8. Accédez à Stratégies de configuration>> ordinateurParamètres Windows Paramètres>de sécurité Stratégies> decompte>Stratégie Kerberos.

9. Dans le volet d’informations, cliquez avec le bouton droit sur Durée de vie maximale du ticket d’utilisateur, puis sélectionnez Propriétés. Cliquez sur Définir ces paramètres de stratégie, définissez le nombre d’heures à 1, cliquez sur Appliquer puis sur OK. Notez que d’autres paramètres de la fenêtre changent également.

10. Dans la fenêtre Gestion des stratégies de groupe , sélectionnez Stratégie de domaine par défaut, cliquez avec le bouton droit, puis sélectionnez Modifier.

11. Développez Stratégies de configuration>> ordinateurParamètres Windows Paramètres>>de sécuritéStratégies locales et sélectionnez Attribution des droits utilisateur.

12. Dans le volet Détails, cliquez avec le bouton droit sur Refuser l’ouverture de session en tant que tâche de traitement par lots , puis sélectionnez Propriétés.

13. Cochez la case Définir ces paramètres de stratégies, cliquez sur Ajouter un utilisateur ou un groupe, puis dans le champ Noms d’utilisateur et de groupe, tapez priv\mimmonitor ; priv\MIMService ; priv\mimcomponent , puis cliquez sur OK.

14. Cliquez sur OK pour fermer la fenêtre.

15. Dans le volet Détails, cliquez avec le bouton droit sur Refuser l’ouverture de session via les services Bureau à distance , puis sélectionnez Propriétés.

16. Cochez la case Définir ces paramètres de stratégies, cliquez sur Ajouter un utilisateur ou un groupe, puis dans le champ Noms d’utilisateur et de groupe, tapez priv\mimmonitor ; priv\MIMService ; priv\mimcomponent , puis cliquez sur OK.

17. Cliquez sur OK pour fermer la fenêtre.

18. Fermez les fenêtres Éditeur de gestion de stratégie de groupe et Gestion des stratégies de groupe.

19. Lancez une fenêtre PowerShell en tant qu'administrateur, puis tapez la commande suivante pour mettre à jour le contrôleur de domaine à partir des paramètres de stratégie de groupe.

    gpupdate /force /target:computer
    

    Au bout d’une minute, il se termine avec le message « La mise à jour de la stratégie ordinateur s’est terminée avec succès ».

Configurer la redirection de noms DNS sur PRIVDC

À l’aide de PowerShell sur PRIVDC, configurez le transfert de noms DNS pour que le domaine PRIV reconnaisse les autres forêts existantes.

1. Lancez PowerShell.

2. Pour chaque domaine situé en haut de chaque forêt existante, tapez la commande suivante. Dans cette commande, spécifiez le domaine DNS existant (par exemple contoso.local) et les adresses IP des serveurs DNS principaux de ce domaine.

   Si vous avez créé un domaine contoso.local à l’étape précédente avec 10.1.1.31 comme adresse IP, spécifiez 10.1.1.31 pour l’adresse IP du réseau virtuel de l’ordinateur CORPDC.

   Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
   

Notes

Les autres forêts doivent aussi pouvoir router les requêtes DNS pour la forêt PRIV vers ce contrôleur de domaine. Si vous avez plusieurs forêts Active Directory, vous devez également ajouter un redirecteur DNS conditionnel à chacune de ces forêts.

Configurer Kerberos

1. À l’aide de PowerShell, ajoutez des noms de principaux du service pour que SharePoint, l’API REST PAM et le Service MIM puissent utiliser l’authentification Kerberos.

   setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
   setspn -S http/pamsrv PRIV\SharePoint
   setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
   setspn -S FIMService/pamsrv PRIV\MIMService
   

Notes

Les étapes suivantes de ce document décrivent comment installer les composants de serveur MIM 2016 sur un seul ordinateur. Si vous envisagez d’ajouter un autre serveur pour la haute disponibilité, une configuration Kerberos supplémentaire est nécessaire, comme décrit dans FIM 2010 : Kerberos Authentication Setup (Configuration de l’authentification Kerberos).

Configurer la délégation pour donner accès aux comptes de service MIM

Procédez comme suit sur PRIVDC comme administrateur de domaine.

1. Lancez Utilisateurs et ordinateurs Active Directory.

2. Cliquez avec le bouton droit sur le domaine priv.contoso.local, puis sélectionnez Déléguer le contrôle.

3. Sous l’onglet Utilisateurs et groupes sélectionnés, cliquez sur Ajouter.

4. Dans la fenêtre Sélectionner des utilisateurs, des ordinateurs ou des groupes, tapez mimcomponent; mimmonitor; mimservice et cliquez sur Vérifier les noms. Une fois les noms soulignés, cliquez sur OK , puis sur Suivant.

5. Dans la liste des tâches courantes, sélectionnez Créer, supprimer et gérer les comptes d’utilisateurs et Modifier l’appartenance à un groupe, puis cliquez sur Suivant et sur Terminer.

6. Recliquez avec le bouton droit sur le domaine priv.contoso.local, puis sélectionnez Déléguer le contrôle.

7. Sous l’onglet Utilisateurs et groupes sélectionnés, cliquez sur Ajouter.

8. Dans la fenêtre Sélectionner les utilisateurs, les ordinateurs ou les groupes, entrez MIMAdmin, puis cliquez sur Vérifier les noms. Une fois les noms soulignés, cliquez sur OK , puis sur Suivant.

9. Sélectionnez tâche personnalisée, appliquez à Ce dossier avec des Autorisations générales.

10. Dans la liste des autorisations, sélectionnez les autorisations suivantes :

    • Lire
    • Écrire
    • Créer tous les objets enfants
    • Supprimer tous les objets enfants
    • Lire toutes les propriétés
    • Écrire toutes les propriétés
    • Migrer l’historique SID

11. Cliquez sur Suivant, puis sur Terminer.

12. Recliquez avec le bouton droit sur le domaine priv.contoso.local, puis sélectionnez Déléguer le contrôle.

13. Sous l’onglet Utilisateurs et groupes sélectionnés, cliquez sur Ajouter.

14. Dans la fenêtre Sélectionner les utilisateurs, les ordinateurs ou les groupes, entrez MIMAdmin, puis cliquez sur Vérifier les noms. Une fois les noms soulignés, cliquez sur OK, puis sur Suivant.

15. Sélectionnez tâche personnalisée, appliquez à Ce dossier, puis cliquez sur uniquement les objets utilisateur.

16. Dans la liste des autorisations, sélectionnez Modifier le mot de passe et Réinitialiser le mot de passe. Cliquez ensuite sur Suivant, puis sur Terminer.

17. Fermez Utilisateurs et ordinateurs Active Directory.

18. Ouvrez une invite de commandes.

19. Passez en revue la liste de contrôle d’accès sur l’objet Admin SD Holder dans les domaines PRIV. Par exemple, si votre domaine était « priv.contoso.local », tapez la commande :

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"
    

20. Mettez à jour la liste de contrôle d’accès en fonction des besoins pour vous assurer que le service MIM et le service de composant PAM MIM peuvent mettre à jour les appartenances des groupes protégés par cette liste de contrôle d’accès. Entrez la commande suivante :

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
    

Configurer PAM dans Windows Server 2016

Ensuite, autorisez les administrateurs MIM et le compte de service MIM à créer et à mettre à jour des principaux d’ombre.

1. Activez les fonctionnalités Privileged Access Management dans Windows Server 2016 Active Directory sont présentes et activées dans la forêt PRIV. Lancez une fenêtre PowerShell en tant qu’administrateur et tapez les commandes suivantes.

   $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
   Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"
   

2. Lancez une fenêtre PowerShell et tapez ADSIEdit.

3. Ouvrez le menu Action, puis cliquez sur « Connexion ». Sur le paramètre du point de connexion, remplacez le contexte d’appellation « Contexte d’attribution de noms par défaut » par « Configuration », puis cliquez sur OK.

4. Une fois la connexion établie, à gauche de la fenêtre sous « Modification ADSI », développez le nœud Configuration pour afficher « CN=Configuration,DC=priv,... ». Développez CN=Configuration, puis CN=Services.

5. Cliquez avec le bouton droit sur « CN=Shadow Principal Configuration », puis cliquez sur Propriétés. Quand la boîte de dialogue Propriétés s’affiche, accédez à l’onglet Sécurité.

6. Cliquez sur Ajouter. Spécifiez les comptes « MIMService » et les autres administrateurs MIM qui exécuteront par la suite New-PAMGroup pour créer d’autres groupes PAM. Pour chaque utilisateur, dans la liste des autorisations accordées, ajoutez « Écriture », « Créer tous les objets enfants, » et « Supprimer tous les objets enfants ». Ajoutez les autorisations.

7. Accédez aux paramètres de sécurité avancés. Sur la ligne qui autorise l’accès À MIMService, cliquez sur Modifier. Remplacez le paramètre « S’applique à » par « cet objet et tous ceux descendants ». Mettez à jour ce paramètre d’autorisation et fermez la boîte de dialogue de sécurité.

8. Fermez Modification ADSI.

9. Ensuite, autorisez les administrateurs MIM à créer et mettre à jour la stratégie d’authentification. Lancez une invite de commandes à privilèges élevés et tapez les commandes suivantes, en remplaçant « mimadmin » par le nom de votre compte d’administrateur MIM dans chacune des quatre lignes :

   dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s
   
   dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy
   
   dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s
   
   dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
   

10. Redémarrez le serveur PRIVDC pour que ces changements soient pris en compte.

Préparer une station de travail PRIV

Suivez ces instructions pour préparer une station de travail. Cette station de travail sera jointe au domaine PRIV pour effectuer la maintenance des ressources PRIV (telles que MIM).

Installer Windows 10 Entreprise

Sur une autre nouvelle machine virtuelle sans logiciel installé, installez Windows 10 Entreprise pour créer un ordinateur « PRIVWKSTN ».

1. Utilisez les paramètres Express pendant l'installation.

2. Notez que l'installation risque de ne pas pouvoir se connecter à Internet. Cliquez pour Créer un compte local. Spécifiez un nom d'utilisateur différent. N'utilisez pas « Administrateur » ou « Jen ».

3. À l’aide du Panneau de configuration, attribuez à cet ordinateur une adresse IP statique sur le réseau virtuel et définissez le serveur PRIVDC comme serveur DNS préféré de l’interface.

4. À l’aide du Panneau de configuration, joignez l’ordinateur PRIVWKSTN au domaine priv.contoso.local. Cette étape nécessite de fournir les informations d’identification de l’administrateur de domaine PRIV. Une fois cette opération terminée, redémarrez l’ordinateur PRIVWKSTN.

5. Installez les packages redistribuables Visual C++ 2013 pour Windows 64 bits.

Si vous souhaitez plus d’informations, consultez Securing privileged access workstations (Sécurisation des stations de travail à accès privilégié).

À l’étape suivante, vous allez préparer un serveur PAM.

« Étape 1Étape 3 »