2. lépés – Az első PRIV tartományvezérlő előkészítése

« 1. lépés3. lépés »

Ebben a lépésben létrehoz egy új tartományt, amely biztosítja a megerősített környezetet a rendszergazdai hitelesítéshez. Ehhez az erdőhöz legalább egy tartományvezérlőre, egy tag-munkaállomásra és legalább egy tagkiszolgálóra lesz szükség. A tagkiszolgáló a következő lépésben lesz konfigurálva.

Új Privileged Access Management tartományvezérlő létrehozása

Ebben a részben beállít egy virtuális gépet, hogy tartományvezérlőként működjön egy új erdő számára.

A Windows Server 2016 vagy újabb telepítése

Egy másik új virtuális gépen, amelyen nincs telepítve szoftver, telepítse a Windows Server 2016-ot vagy újabb verziót a "PRIVDC" számítógép létrehozásához.

1. Válassza ki a Windows Server egyéni (nem frissítési) telepítését. Telepítéskor adja meg a Windows Server 2016 -ot (asztali felülettel rendelkező kiszolgáló); ne válassza az Adatközpont vagy a Server Core lehetőséget.

2. Tekintse át és fogadja el a licencfeltételeket.

3. Mivel a lemez üres lesz, válassza a Egyéni: Csak a Windows telepítése opciót, és használja a nem inicializált lemezterületet.

4. Az operációs rendszer verziójának telepítése után jelentkezzen be az új számítógépre új rendszergazdaként. A Vezérlőpult használatával állítsa a számítógép nevét PRIVDC értékre. A hálózati beállításokban adjon meg egy statikus IP-címet a virtuális hálózaton, és konfigurálja a DNS-kiszolgálót úgy, hogy az az előző lépésben telepített tartományvezérlőhöz legyen. Újra kell indítania a kiszolgálót.

5. A kiszolgáló újraindítása után jelentkezzen be rendszergazdaként. A Vezérlőpult használatával konfigurálja a számítógépet a frissítések keresésére, és telepítse a szükséges frissítéseket. A frissítések telepítéséhez szükség lehet a kiszolgáló újraindítására.

Szerepkörök hozzáadása

Adja hozzá a Active Directory tartományi szolgáltatások (AD DS) és a DNS-kiszolgálói szerepköröket.

1. Indítsa el a PowerShellt rendszergazdaként.

2. A Windows Server Active Directory telepítésének előkészítéséhez írja be az alábbi parancsokat.

   import-module ServerManager
   
   Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
   

Beállításjegyzék-beállítások konfigurálása a SID-előzmények áttelepítéséhez

Indítsa el a PowerShellt, és írja be a következő parancsot a forrástartomány konfigurálásához a távoli eljáráshívás (RPC) hozzáférésének engedélyezéséhez a biztonsági fiókok kezelője (SAM) adatbázisához.

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Új Privileged Access Management-erdő létrehozása

Ezután előléptesse a kiszolgálót egy új erdő tartományvezérlőjeként.

Ebben az útmutatóban a priv.contoso.local nevet használja a rendszer az új erdő tartományneveként. Az erdő neve nem kritikus, és nem kell alárendeltnek lennie a szervezet meglévő erdőnevének. Az új erdő tartomány- és NetBIOS-nevének azonban egyedinek és a szervezet bármely más tartományától eltérőnek kell lennie.

Tartomány és erdő létrehozása

1. Egy PowerShell-ablakban írja be az alábbi parancsokat az új tartomány létrehozásához. Ezek a parancsok egy dns-delegálást is létrehoznak egy felsőbb szintű tartományban (contoso.local), amelyet egy előző lépésben hoztak létre. Ha később szeretné konfigurálni a DNS-t, hagyja ki a CreateDNSDelegation -DNSDelegationCredential $ca paramétereket.

   $ca= get-credential
   Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca
   

2. Amikor az előugró ablak úgy tűnik, hogy konfigurálja a DNS-delegálást, adja meg a CORP erdőgazdálkodójának hitelesítő adatait, amely ebben az útmutatóban a CONTOSO\Rendszergazda felhasználónév volt, valamint az 1. lépésben megadott jelszó.

3. A PowerShell ablaka egy csökkentett módú rendszergazdai jelszó használatát kéri. Adjon meg kétszer új jelszót. Megjelennek a DNS-delegálási és titkosítási beállításokra vonatkozó figyelmeztető üzenetek; ezek normálisak.

Az erdő létrehozása után a kiszolgáló automatikusan újraindul.

Felhasználói és szolgáltatásfiókok létrehozása

Hozza létre a felhasználói és szolgáltatásfiókokat a MIM szolgáltatás és a portál beállításához. Ezek a fiókok a priv.contoso.local tartomány Felhasználók tárolójában lesznek.

1. A kiszolgáló újraindítása után jelentkezzen be a PRIVDC-be tartományi rendszergazdaként (PRIV\Administrator).

2. Indítsa el a PowerShellt, és írja be a következő parancsokat. A "Pass@word1" jelszó csak egy példa, és más jelszót kell használnia a fiókokhoz.

   import-module activedirectory
   
   $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   New-ADUser –SamAccountName MIMMA –name MIMMA
   
   Set-ADAccountPassword –identity MIMMA –NewPassword $sp
   
   Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor
   
   Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp
   
   Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent
   
   Set-ADAccountPassword –identity MIMComponent –NewPassword $sp
   
   Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMSync –name MIMSync
   
   Set-ADAccountPassword –identity MIMSync –NewPassword $sp
   
   Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMService –name MIMService
   
   Set-ADAccountPassword –identity MIMService –NewPassword $sp
   
   Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName SharePoint –name SharePoint
   
   Set-ADAccountPassword –identity SharePoint –NewPassword $sp
   
   Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName SqlServer –name SqlServer
   
   Set-ADAccountPassword –identity SqlServer –NewPassword $sp
   
   Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
   
   Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
   
   Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
   
   New-ADUser -SamAccountName MIMAdmin -name MIMAdmin
   
   Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp
   
   Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1
   
   Add-ADGroupMember "Domain Admins" SharePoint
   
   Add-ADGroupMember "Domain Admins" MIMService
   

Auditálási és bejelentkezési jogok konfigurálása

Be kell állítania a naplózást, hogy a PAM-konfigurációt erdők között lehessen létrehozni.

1. Győződjön meg arról, hogy tartományi rendszergazdaként van bejelentkezve (PRIV\Rendszergazda).

2. Menjen a Start>Windows felügyeleti eszközök>Csoportházirend-kezelés menüpontra.

3. Lépjen be a Forest: priv.contoso.local>Tartományok>priv.contoso.local>Tartományvezérlők>Alapértelmezett Tartományvezérlők Házirend. Megjelenik egy figyelmeztető üzenet.

4. Kattintson a jobb gombbal az Alapértelmezett tartományvezérlők házirendre, és válassza a Szerkesztés parancsot.

5. A Csoportházirend-kezelő szerkesztő konzolfájában keresse meg a Számítógép-konfiguráció>Házirendek>Windows-beállítások>Biztonsági beállítások>Helyi házirendek>Naplózási házirendek.

6. A Részletek panelen kattintson a jobb gombbal a Fiókkezelés ellenőrzése elemre, és válassza a Tulajdonságok lehetőséget. Kattintson a Szabályzat beállításainak megadása elemre, jelölje be a Sikeresség jelölőnégyzetet, jelölje be a Sikertelenség jelölőnégyzetet, kattintson az Alkalmaz gombra, majd az OK gombra.

7. A Részletek panelen kattintson a jobb gombbal a Címtárszolgáltatás hozzáférés naplózása elemre, és válassza a Tulajdonságok lehetőséget. Kattintson a Szabályzat beállításainak megadása elemre, jelölje be a Sikeresség jelölőnégyzetet, jelölje be a Sikertelenség jelölőnégyzetet, kattintson az Alkalmaz gombra, majd az OK gombra.

8. Lépjen a Számítógép konfiguráció>Házirendek>Windows beállítások>Biztonsági beállítások>Fiókházirendek>Kerberos-házirend elemre.

9. A Részletek panelen kattintson a jobb gombbal a felhasználói jegy maximális élettartamára, és válassza a Tulajdonságok lehetőséget. Kattintson a Szabályzat beállításainak megadása elemre, állítsa az órák számát 1-esre, kattintson az Alkalmaz gombra, majd az OK gombra. Vegye figyelembe, hogy az ablak egyéb beállításai is módosulnak.

10. A Csoportházirend kezelése ablakban válassza az Alapértelmezett tartományházirend lehetőséget, kattintson a jobb gombbal, és válassza a Szerkesztés parancsot.

11. Bontsa ki a Számítógép-konfiguráció>Házirendeket>Windows-beállításokat>Biztonsági beállítások>Helyi szabályzatok részben, és válassza a Felhasználói jogok hozzárendelése lehetőséget.

12. A Részletek panelen kattintson a jobb gombbal a Megtagadás bejelentkezés kötegelt feladatként elemre, és válassza a Tulajdonságok lehetőséget.

13. Jelölje be a Szabályzatbeállítások megadása jelölőnégyzetet, kattintson a Felhasználó vagy csoport hozzáadása gombra, majd a Felhasználó és csoport neve mezőbe írja be a priv\mimmonitor; priv\MIMService; priv\mimcomponent parancsot , és kattintson az OK gombra.

14. Kattintson az OK gombra az ablak bezárásához.

15. A Részletek panelen kattintson a jobb gombbal a Távoli asztali szolgáltatásokon keresztüli Bejelentkezés megtagadása elemre, és válassza a Tulajdonságok lehetőséget.

16. Kattintson a Szabályzatbeállítások megadása jelölőnégyzetre, kattintson a Felhasználó vagy csoport hozzáadása gombra, majd a Felhasználó és csoport neve mezőbe írja be a priv\mimmonitor; priv\MIMService; priv\mimcomponent parancsot , és kattintson az OK gombra.

17. Kattintson az OK gombra az ablak bezárásához.

18. Zárja be a Csoportházirend-kezelési szerkesztő és a Csoportházirend kezelése ablakot.

19. Nyisson meg egy PowerShell-ablakot rendszergazdaként, és írja be a következő parancsot a tartományvezérlő csoportházirend-beállításokból való frissítéséhez.

    gpupdate /force /target:computer
    

    Egy perc múlva a következő üzenet jelenik meg: "A számítógépházirend frissítése sikeresen befejeződött".

DNS-névtovábbítás konfigurálása a PRIVDC-n

A PRIVDC-en futó PowerShell használatával konfigurálja a DNS-névtovábbítást annak érdekében, hogy a PRIV-tartomány felismerje a többi meglévő erdőt.

1. Indítsa el a PowerShellt.

2. Minden egyes meglévő erdő tetején lévő tartományhoz írja be a következő parancsot. Ebben a parancsban adja meg a meglévő DNS-tartományt (például contoso.local) és a tartomány elsődleges DNS-kiszolgálóinak IP-címét.

   Ha az előző lépésben létrehozott egy contoso.local tartományt, amelynek IP-címe a 10.1.1.31 , akkor adja meg a 10.1.1.31 értéket a CORPDC-számítógép virtuális hálózati IP-címéhez.

   Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
   

Megjegyzés

A többi erdőnek képesnek kell lennie arra is, hogy a PRIV-erdő DNS-lekérdezését erre a tartományvezérlőre irányozza. Ha több meglévő Active Directory-erdővel rendelkezik, akkor mindegyik erdőhöz hozzá kell adnia egy DNS-feltételes továbbítót is.

A Kerberos konfigurálása

1. A PowerShell használatával adjon hozzá SPN-eket, hogy a SharePoint, a PAM REST API és a MIM szolgáltatás Kerberos-hitelesítést használhasson.

   setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
   setspn -S http/pamsrv PRIV\SharePoint
   setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
   setspn -S FIMService/pamsrv PRIV\MIMService
   

Megjegyzés

A dokumentum következő lépései bemutatják, hogyan telepíthetők a MIM 2016-kiszolgálóösszetevők egyetlen számítógépre. Ha egy másik kiszolgálót szeretne hozzáadni a magas rendelkezésre álláshoz, további Kerberos-konfigurációra lesz szüksége a FIM 2010: Kerberos-hitelesítés beállítása című cikkben leírtak szerint.

Delegálás konfigurálása a MIM-szolgáltatásfiókok hozzáférésének biztosításához

Hajtsa végre a következő lépéseket a PRIVDC-n tartományi rendszergazdaként.

1. Indítsa el az Active Directory Felhasználók és Számítógépek.

2. Kattintson a jobb gombbal a priv.contoso.local tartományra, és válassza a Delegálási vezérlő lehetőséget.

3. A Kijelölt felhasználók és csoportok lapon kattintson a Hozzáadás gombra.

4. A Felhasználók, számítógépek vagy csoportok kijelölése ablakban írja be mimcomponent; mimmonitor; mimservice és kattintson a Nevek ellenőrzése parancsra. A nevek aláhúzása után kattintson az OK, majd a Tovább gombra.

5. A gyakori feladatok listájában válassza a Felhasználói fiókok létrehozása, törlése és kezelése, csoporttagság módosítása lehetőséget, majd kattintson a Tovább és a Befejezés gombra.

6. Kattintson ismét a jobb gombbal a priv.contoso.local tartományra, és válassza a Delegálási vezérlő lehetőséget.

7. A Kijelölt felhasználók és csoportok lapon kattintson a Hozzáadás gombra.

8. A Felhasználók, számítógépek vagy csoportok kijelölése ablakban írja be a MIMAdmin kifejezést, és kattintson a Nevek ellenőrzése parancsra. A nevek aláhúzása után kattintson az OK, majd a Tovább gombra.

9. Válassza ki az egyéni feladatot, alkalmazza erre a mappára, általános engedélyekkel.

10. Az engedélyek listájában válassza ki a következő engedélyeket:

    • Olvasd
    • Írás
    • Az összes gyermekobjektum létrehozása
    • Az összes gyermekobjektum törlése
    • Az összes tulajdonság beolvasása
    • Összes tulajdonság írása
    • SID előzményeinek migrálása

11. Kattintson a Tovább gombra, majd a Befejezés gombra.

12. Még egyszer kattintson a jobb gombbal a priv.contoso.local tartományra, és válassza a Delegálási vezérlő lehetőséget.

13. A Kijelölt felhasználók és csoportok lapon kattintson a Hozzáadás gombra.

14. A Felhasználók, számítógépek vagy csoportok kijelölése ablakban adja meg a MIMAdmin kifejezést, majd kattintson a Nevek ellenőrzése parancsra. A nevek aláhúzása után kattintson az OK, majd a Tovább gombra.

15. Jelölje ki az egyéni feladatot, alkalmazza a(z) mappára, majd kattintson a csak a felhasználói objektumok elemre.

16. Az engedélyek listájában válassza a Jelszó módosítása és a Jelszó alaphelyzetbe állítása lehetőséget. Ezután kattintson a Tovább, majd a Befejezés gombra.

17. Zárja be Az Active Directory – Felhasználók és Számítógépek alkalmazást.

18. Nyisson meg egy parancssorablakot.

19. Tekintse át a PRIV tartományok adminisztrátor SD Holder objektumának hozzáférés-vezérlési listáját. Ha például a tartomány "priv.contoso.local" volt, írja be a következő parancsot:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"
    

20. Szükség szerint frissítse a hozzáférés-vezérlési listát, hogy a MIM szolgáltatás és a MIM PAM összetevő szolgáltatás frissíthesse az ACL által védett csoportok tagságait. Írja be a következő parancsot:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
    

A PAM konfigurálása a Windows Server 2016-ban

Ezután engedélyezze a MIM-rendszergazdáknak és a MIM-szolgáltatás felhasználói fióknak az árnyékazonosítók létrehozását és frissítését.

1. Engedélyezze a kiváltságos hozzáférés-kezelés funkcióit a Windows Server 2016 Active Directoryban, amelyek engedélyezve vannak a PRIV erdőben. Nyisson meg egy PowerShell-ablakot rendszergazdaként, és írja be a következő parancsokat.

   $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
   Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"
   

2. Nyisson meg egy PowerShell-ablakot, és írja be az ADSIEdit parancsot.

3. Nyissa meg a Műveletek menüt, majd kattintson a "Csatlakozás" opcióra. A Csatlakozási pont beállításnál módosítsa az elnevezési környezetet "Alapértelmezett elnevezési környezet" értékről "Konfiguráció" értékre, és kattintson az OK gombra.

4. Csatlakozás után az "ADSI Edit" alatti ablak bal oldalán bontsa ki a konfigurációs csomópontot a "CN=Configuration,DC=priv,...." megtekintéséhez. Bontsa ki a CN=Configuration elemet, majd bontsa ki a CN=Services elemet.

5. Kattintson a jobb gombbal a "CN=Shadow Principal Configuration" elemre, és kattintson a Tulajdonságok elemre. Amikor megjelenik a tulajdonságok párbeszédpanel, váltson a biztonsági lapra.

6. Kattintson a Hozzáadás gombra. Adja meg a "MIMService" fiókokat, valamint azokat a MIM-rendszergazdákat, akik később a New-PAMGroup szolgáltatást hajtják végre további PAM-csoportok létrehozásához. Minden felhasználó esetében az engedélyezett engedélyek listájában adja hozzá az "Írás", a "Minden gyermekobjektum létrehozása" és a "Minden gyermekobjektum törlése" lehetőséget. Adja hozzá az engedélyeket.

7. Módosítsa a speciális biztonsági beállításokat. A MIMService-hozzáférést engedélyező sorban kattintson a Szerkesztés gombra. Módosítsa az "Alkalmazás" beállítást "erre az objektumra és az összes leszármazott objektumra". Frissítse ezt az engedélybeállítást, és zárja be a biztonsági párbeszédpanelt.

8. Zárja be az ADSI Editet.

9. Ezután engedélyezze a MIM-rendszergazdáknak a hitelesítési szabályzat létrehozását és frissítését. Nyisson meg egy emelt szintű parancssort , és írja be a következő parancsokat, és cserélje le a MIM-rendszergazdai fiók nevét a "mimadmin" kifejezésre a négy sor mindegyikében:

   dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s
   
   dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy
   
   dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s
   
   dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
   

10. Indítsa újra a PRIVDC-kiszolgálót a módosítások érvénybe lépéséhez.

PRIV munkaállomás előkészítése

A munkaállomás előkészítéséhez kövesse az alábbi utasításokat. Ez a munkaállomás csatlakozik a PRIV tartományhoz a PRIV-erőforrások (például a MIM) karbantartásához.

A Windows 10 Enterprise telepítése

Egy másik új virtuális gépen, amelyen nincs telepítve szoftver, telepítse a Windows 10 Enterprise-t a "PRIVWKSTN" számítógép létrehozásához.

1. A telepítés során expressz beállításokat használhat.

2. Vegye figyelembe, hogy előfordulhat, hogy a telepítés nem tud csatlakozni az internethez. Kattintson ide egy helyi fiók létrehozásához. Adjon meg egy másik felhasználónevet; ne használja a "Rendszergazda" vagy a "Jen" kifejezést.

3. A Vezérlőpult használva adjon meg egy statikus IP-címet a virtuális hálózaton, és állítsa be a felület előnyben részesített DNS-kiszolgálóját a PRIVDC-kiszolgálóéra.

4. A Vezérlőpult használatával csatlakoztassa a PRIVWKSTN számítógépet a priv.contoso.local tartományhoz. Ehhez a lépéshez meg kell adni a PRIV tartományi rendszergazdai hitelesítő adatait. Ha ez befejeződött, indítsa újra a számítógépet PRIVWKSTN.

5. Telepítse a Visual C++ 2013 terjeszthető csomagokat a 64 bites Windowshoz.

Ha további részletekre van szüksége, tekintse meg a kiemelt hozzáférésű munkaállomások biztonságossá tételét.

A következő lépésben egy PAM-kiszolgálót fog készíteni.

« 1. lépés3. lépés »