Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo scenario abilita MIM 2016 SP2 per lo scenario PAM usando funzionalità di Windows Server 2016 o versioni successive come controller di dominio per la foresta "PRIV". Quando questo scenario è configurato, il ticket Kerberos di un utente sarà limitato nella validità al tempo rimanente delle attivazioni del suo ruolo.
Preparazione
Per l'ambiente lab sono necessarie almeno due macchine virtuali:
La macchina virtuale ospita il controller di dominio PRIV, che esegue Windows Server 2016 o versione successiva
La macchina virtuale ospita il servizio MIM, che esegue Windows Server 2016 o versione successiva
Nota
Se non si ha già un dominio "CORP" nell'ambiente lab, è necessario un controller di dominio aggiuntivo per tale dominio. Il controller di dominio "CORP" può eseguire Windows Server 2016 o Windows Server 2012 R2.
Eseguire l'installazione come descritto nella guida introduttiva , ad eccezione di quanto indicato di seguito:
Se si sta creando un nuovo dominio CORP, quando si seguono le istruzioni riportate in Passaggio 1 - Preparare il controller di dominio CORP, è possibile scegliere di configurare facoltativamente il dominio CORP in modo che sia a livello di funzionalità di Windows Server 2016. Se si sceglie questa opzione, apportare le modifiche seguenti:
Se si usa il media di Windows Server 2016, l'opzione di installazione sarà denominata Windows Server 2016 (Server con Esperienza desktop).
È possibile specificare il livello di funzionalità di Windows Server 2016 per la foresta e il dominio CORP specificando 7 come numero di versione del dominio e della foresta nell'argomento al comando Install-ADDSForest, come indicato di seguito:
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force –NoDnsOnNetworkIn "Crea nuovi utenti e gruppi", il comando finale (New-ADGroup -name 'CONTOSO$$$' ...) non è necessario quando entrambi i controller di dominio CORP e PRIV sono a livello funzionale di dominio di Windows Server 2016.
Le modifiche descritte in "Configura controllo" (elemento 8) e "Configura impostazioni del Registro di sistema" (elemento 10) sono consigliate, ma non necessarie quando i controller di dominio CORP e PRIV sono livello funzionale di dominio di Windows Server 2016.
Se si sceglie di usare Windows Server 2012 R2 come sistema operativo per CORPDC, è necessario installare hotfix 2919442, 2919355, e aggiornare 3155495 in CORPDC.
Seguire le istruzioni riportate in Passaggio 2 - Preparare il controller di dominio PRIVe assicurarsi di usare una versione precedente del contenuto per apportare queste modifiche:
Installare utilizzando il supporto di Windows Server 2016. L'opzione di installazione verrà chiamata Windows Server 2016 (Server con Esperienza desktop).
Nelle istruzioni "Aggiungi ruoli" (elemento #4), devi specificare i numeri di versione del dominio e della foresta nella quarta riga dei comandi di PowerShell per essere 7, per consentire di abilitare le funzionalità di Windows Server AD descritte più avanti.
Install-ADDSForest -DomainMode 7 -ForestMode 7 -DomainName priv.contoso.local -DomainNetbiosName priv -Force -CreateDNSDelegation -DNSDelegationCredential $caQuando si configurano i diritti di controllo e accesso, si noti che il programma Gestione Criteri di gruppo si trova nella cartella Strumenti di amministrazione di Windows.
La configurazione delle impostazioni del Registro di sistema necessarie per la migrazione della cronologia SID (elemento n. 8) non è più richiesta quando il dominio PRIV è al livello funzionale di dominio di Windows Server 2016.
Dopo aver configurato la delega e prima di riavviare il server, abilitare le funzionalità di Privileged Access Management in Windows Server 2016 Active Directory avviando una finestra di PowerShell come amministratore e digitando i comandi seguenti.
$of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'" Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"Dopo aver configurato la delega e prima di riavviare il server, autorizzare gli amministratori MIM e l'account del servizio MIM a creare e aggiornare le entità shadow.
a) Avviare una finestra di PowerShell e digitare ADSIEdit.
b. Aprire il menu Azioni, fare clic su "Connetti a". Nell'impostazione Punto di connessione modificare il contesto di denominazione da "Contesto di denominazione predefinito" a "Configurazione" e fare clic su OK.
c. Dopo la connessione, sul lato sinistro della finestra sotto "MODIFICA ADSI", espandere il nodo Configurazione per visualizzare "CN=Configuration,DC=priv,....". Espandere CN=Configuration e poi espandere CN=Services.
d. Fare clic con il pulsante destro del mouse su "CN=Shadow Principal Configuration" e scegliere Proprietà. Quando viene visualizzata la finestra di dialogo delle proprietà, passare alla scheda sicurezza.
e. Fare clic su Aggiungi. Specificare gli account "MIMService", nonché qualsiasi altro amministratore MIM che in seguito eseguirà New-PAMGroup per creare gruppi PAM aggiuntivi. Per ogni utente, nell'elenco delle autorizzazioni consentite aggiungere "Write", "Create all child objects" (Crea tutti gli oggetti figlio) e "Delete all child objects" (Elimina tutti gli oggetti figlio). Aggiungere le autorizzazioni.
f. Passare a Impostazioni di sicurezza avanzate. Nella riga che consente l'accesso a MIMService fare clic su Modifica. Modificare l'impostazione "Si applica a" su "a questo oggetto e a tutti gli oggetti discendenti". Aggiornare questa impostazione di autorizzazione e chiudere la finestra di dialogo di sicurezza.
g. Chiudi ADSI Edit.
Dopo aver configurato la delega e prima di riavviare il server, autorizzare gli amministratori MIM a creare e aggiornare i criteri di autenticazione.
a) Avvia un prompt dei comandi con privilegi amministrativi e digita i comandi seguenti, sostituendo "mimadmin" con il nome del tuo account amministratore MIM in ciascuna delle quattro righe:
dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
Seguire le istruzioni in Passaggio 3 : Preparare un server PAM.
Si noti che quando si esegue l'installazione in Windows Server 2016, il ruolo "ApplicationServer" non è più disponibile.
Se si installa MIM in Windows Server 2016, non è possibile installare SharePoint 2013. Se si vuole usare il portale MIM, è necessario usare una versione successiva di SharePoint.
Seguire le istruzioni riportate in Passaggio 4 : Installare i componenti MIM nel server PAM e nella workstation, con queste modifiche.
L'utente che installa il servizio MIM e i componenti PAM deve avere accesso in scrittura al dominio PRIV in AD, perché l'installazione di MIM crea una nuova unità organizzativa AD "oggetti PAM".
Se SharePoint non è installato, non installare il portale MIM.
Seguire le istruzioni riportate in Passaggio 5 - Stabilire la fiducia con queste modifiche:
- Quando si stabilisce un trust unidirezionale, eseguire solo i primi due comandi di PowerShell (get-credential e New-PAMTrust), non eseguire il comando New-PAMDomainConfiguration. Al contrario, dopo aver stabilito l'attendibilità, accedere a PRIVDC come PRIV\Administrator, avviare PowerShell e digitare i comandi seguenti:
netdom trust contoso.local /domain:priv.contoso.local /enablesidhistory:yes /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /quarantine:no /usero:contoso\administrator /passwordo:Pass@word1 netdom trust contoso.local /domain:priv.contoso.local /enablepimtrust:yes /usero:contoso\administrator /passwordo:Pass@word1
- Quando si stabilisce un trust unidirezionale, eseguire solo i primi due comandi di PowerShell (get-credential e New-PAMTrust), non eseguire il comando New-PAMDomainConfiguration. Al contrario, dopo aver stabilito l'attendibilità, accedere a PRIVDC come PRIV\Administrator, avviare PowerShell e digitare i comandi seguenti:
L'elemento 5 (verifica dell'attendibilità) non è più necessario quando entrambi i domini CORP e PRIV sono a livello funzionale di dominio di Windows Server 2016.