1. lépés – A gazdagép és a CORP tartomány előkészítése
Ebben a lépésben előkészíti a PAM által felügyelt környezet üzemeltetését. Szükség esetén egy tartományvezérlőt és egy tag munkaállomást is létrehoz egy új tartományban és erdőben (a CORP-erdőben ). Az erdőhöz való hozzáférés a megerősített környezet által felügyelendő identitásokból, a következő lépésben létrehozott PRIV erdővel lesz elérhető. A CORP erdő egy kezelendő erőforrásokat tartalmazó, meglévő erdőt szimulál. Ez a dokumentum egy védendő erőforrást, egy fájlmegosztást használ példaként.
Ha már rendelkezik olyan Active Directory- (AD-) tartománnyal, amely Windows Server 2012 R2 vagy újabb rendszert futtató tartományvezérlővel rendelkezik, ahol Ön tartományi rendszergazda, használhatja inkább ezt a tartományt, és ugorjon a jelen cikk "Csoport létrehozása" szakaszára.
A CORP-tartományvezérlő előkészítése
Ez a szakasz ismerteti, hogyan állíthat be tartományvezérlőt egy CORP tartományhoz. A CORP tartományon belül a rendszergazda felhasználókat a megerősített környezet felügyeli. Ebben a példában contoso.local lesz a CORP tartomány DNS-neve.
A Windows Server telepítése
Telepítse Windows Server 2016 vagy újabb verzióját egy virtuális gépre a CORPDC nevű számítógép létrehozásához.
Válassza a Windows Server 2016 (Kiszolgáló asztali felülettel) lehetőséget.
Olvassa el és fogadja el a licencfeltételeket.
Mivel a lemez üres lesz, válassza az Egyéni: Csak a Windows telepítése lehetőséget, és használja a nem inicializált lemezterületet.
Rendszergazdaként jelentkezzen be az új számítógépre. Nyissa meg a Vezérlőpultot. Adja a számítógépnek a CORPDC nevet, és a virtuális hálózaton rendeljen hozzá egy statikus IP-címet. Indítsa újra a kiszolgálót.
A kiszolgáló újraindítása után jelentkezzen be rendszergazdaként. Nyissa meg a Vezérlőpultot. Állítsa be a számítógépet a frissítések keresésére, és telepítse a szükséges frissítéseket. Indítsa újra a kiszolgálót.
Szerepkörök beállítása tartományvezérlő létrehozásához
Ebben a szakaszban beállítja az új Windows Servert, hogy tartományvezérlővé váljon. A Active Directory tartományi szolgáltatások (AD DS), a DNS-kiszolgáló és a Fájlkiszolgáló (a Fájl- és tárolási szolgáltatások szakasz része) szerepköröket fogja hozzáadni, és előlépteti ezt a kiszolgálót egy új contoso.local erdő tartományvezérlőjéhez.
Megjegyzés
Ha már rendelkezik CORP-tartományként használandó tartománnyal, és ez a tartomány Windows Server 2012 R2 vagy újabb tartományt használ a tartomány működési szintjeként, ugorjon a További felhasználók és csoportok létrehozása bemutató célokra című szakaszra.
Rendszergazdaként bejelentkezve indítsa el a PowerShellt.
Írja be a következő parancsokat:
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
Ekkor megjelenik egy figyelmeztetés a csökkentett mód rendszergazdai jelszavának használatára vonatkozóan. A DNS-delegálással és a titkosítási beállításokkal kapcsolatosan figyelmeztető üzenetek fognak megjelenni. Ez nem rendellenes.
Az erdő létrehozása után jelentkezzen ki. A kiszolgáló automatikusan újraindul.
A kiszolgáló újraindítása után jelentkezzen be a CORPDC számítógépre tartományi rendszergazdaként. Ez általában a CONTOSO\Rendszergazda felhasználó, amely a Windows CORPDC-n való telepítésekor létrehozott jelszóval rendelkezik.
Frissítések telepítése (csak az R2 Windows Server 2012)
- Ha a Windows Server 2012 R2-t használja a CORPDC tartományvezérlő operációs rendszereként, akkor telepítenie kell a 2919442-es és a 2919355-es gyorsjavítást, valamint a 3155495-es frissítést a CORPDC számítógépre.
Csoport létrehozása
Hozzon létre egy csoportot az Active Directory naplózási céljaira, feltéve, hogy még nincs ilyen csoport. A csoport nevének a NetBIOS-tartománynévnek kell lennie, melyet három dollárjel követ, például: CONTOSO$$$.
Minden tartományban jelentkezzen be egy tartományvezérlőre tartományi rendszergazdaként, és hajtsa végre az alábbi lépéseket:
Indítsa el a PowerShellt.
Írja be a következő parancsokat, de a „CONTOSO” szót cserélje ki a saját tartományának NetBIOS-nevével.
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
Bizonyos esetekben előfordulhat, hogy a csoport már létezik – ami normális, ha a tartományt az AD áttelepítési forgatókönyveihez is használják.
További felhasználók és csoportok létrehozása bemutatóhoz
Ha létrehozott egy új CORP tartományt, további felhasználókat és csoportokat kell létrehoznia a PAM-forgatókönyv bemutatásához. A bemutatási célokra használt felhasználók és csoportok nem lehetnek tartományi rendszergazdák, és nem szabályozhatják őket az AD adminSDHolder beállításai.
Megjegyzés
Ha már rendelkezik olyan tartománnyal, amelyet CORP-tartományként fog használni, és rendelkezik egy felhasználóval és egy bemutató célokra használható csoporttal, ugorjon a Naplózás konfigurálása szakaszra.
Létre fogjuk hozni a CorpAdmins nevű biztonsági csoportot és a Ilona nevű felhasználót. Tetszés szerint más neveket is választhat. Ha már rendelkezik egy meglévő felhasználóval, például intelligens kártyával, akkor nem kell új felhasználót létrehoznia.
Indítsa el a PowerShellt.
Írja be a következő parancsokat: A „Pass@word1” jelszót helyettesítse egy másik jelszósztringgel.
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
Naplózás konfigurálása
A meglévő erdőkben be kell állítania a naplózást ahhoz, hogy létre lehessen hozni a PAM konfigurációját ezekre az erdőkre vonatkozóan.
Minden tartományban jelentkezzen be egy tartományvezérlőre tartományi rendszergazdaként, és hajtsa végre az alábbi lépéseket:
Nyissa meg aWindows felügyeleti eszközökindítása> lapot, és indítsa el a Csoportházirend Managementet.
Keresse meg az ehhez a tartományhoz tartozó tartományvezérlői szabályzatot. Ha létrehozott egy új tartományt a contoso.local számára, lépjen az Erdő: contoso.local> Domainscontoso.local>Domains> alapértelmezetttartományvezérlők>házirendje elemre. Ekkor megjelenik egy tájékoztató üzenet.
Kattintson a jobb gombbal az Alapértelmezett tartományvezérlői házirend elemre, majd válassza a Szerkesztés lehetőséget. Ekkor megjelenik egy új ablak.
A Csoportházirend Felügyeleti szerkesztő ablakÁnak Alapértelmezett tartományvezérlők házirendfája területén lépjen a Számítógép-konfigurációs>házirendek>Windows-beállítások>Biztonsági beállítások>Helyi házirendek>naplózási házirend területre.
A részletek ablaktábláján kattintson a jobb gombbal a Fiókkezelés naplózása elemre, és válassza a Tulajdonságok parancsot. Válassza ki A következő házirend-beállítások megadása lehetőséget, jelölje be a Sikeres és a Sikertelen beállítást, majd kattintson az Alkalmaz és az OK gombra.
A részletek ablaktáblájában kattintson a jobb gombbal a Címtárszolgáltatás-hozzáférés naplózása elemre, és válassza a Tulajdonságok parancsot. Válassza ki A következő házirend-beállítások megadása lehetőséget, jelölje be a Sikeres és a Sikertelen beállítást, majd kattintson az Alkalmaz és az OK gombra.
Zárja be a Csoportházirendkezelés-szerkesztő ablakát és a Csoportházirend kezelése ablakot.
A naplózási beállítások alkalmazásához nyisson meg egy PowerShell-ablakot, és írja be a következőt:
gpupdate /force /target:computer
Néhány perc elteltével A számítógép-házirend frissítése sikeresen befejeződött üzenetnek kell megjelennie.
Beállításjegyzék-beállítások konfigurálása
Ebben a szakaszban az sID-előzmények áttelepítéséhez szükséges beállításjegyzék-beállításokat fogja konfigurálni, amelyeket a rendszer a Privileged Access Management-csoportok létrehozásához fog használni.
Indítsa el a PowerShellt.
Írja be a következő parancsokat, amelyekkel beállíthatja, hogy a forrástartomány engedélyezze a távoli eljáráshívás (RPC) hozzáférését a biztonsági fiókkezelő (SAM) adatbázisához.
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
Ez újraindítja a tartományvezérlőt, a CORPDC gépet. Ezzel a beállításjegyzék-beállítással kapcsolatban bővebben lásd: How to troubleshoot inter-forest sIDHistory migration with ADMTv2 (A SID-előzmények erdők között, ADMTv2-vel végzett áttelepítésekor jelentkező hibák elhárítása).
CORP-erőforrás előkészítése bemutató célokra
A pam biztonsági csoportalapú hozzáférés-vezérlésének bemutatásához legalább egy erőforrásra szüksége lesz a tartományban. Ha még nem rendelkezik erőforrással, bemutató céljából használhat fájlmappát a CORP tartományhoz csatlakoztatott kiszolgálón. Ez a contoso.local tartományban létrehozott „Ilona” és „CorpAdmins” nevű AD-objektumot fogja használni.
Csatlakozzon a kiszolgálóhoz rendszergazdaként.
Hozzon létre egy új mappát a CorpFS névvel, és ossza meg a CorpAdmins csoporttal. Nyissa meg a PowerShellt rendszergazdaként, és írja be a következő parancsokat.
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $acl
Mivel a PRIV-felhasználó egy másik erdőből csatlakozik ehhez a kiszolgálóhoz, előfordulhat, hogy módosítania kell a tűzfal konfigurációját ezen a kiszolgálón, hogy a felhasználó számítógépe csatlakozni tudjon ehhez a kiszolgálóhoz.
A következő lépésben előkészíti a PRIV tartományvezérlőt.