Passaggio 2: Preparare il primo controller di dominio PRIV

« Passaggio 1passaggio 3 »

In questo passaggio si creerà un nuovo dominio che fornirà l'ambiente bastion per l'autenticazione dell'amministratore. Questa foresta richiederà almeno un controller di dominio, una workstation membro e almeno un server membro. Il server membro verrà configurato nel passaggio successivo.

Creare un nuovo controller di dominio Privileged Access Management

In questa sezione si configurerà una macchina virtuale da usare come controller di dominio per una nuova foresta.

Installare Windows Server 2016 o versione successiva

In un'altra nuova macchina virtuale senza software installato, installare Windows Server 2016 o versione successiva per creare un computer "PRIVDC".

1. Selezionare questa opzione per eseguire un'installazione personalizzata (non un aggiornamento) di Windows Server. Durante l'installazione, specificare Windows Server 2016 (Server con Esperienza desktop); non selezionareData Center o Server Core.

2. Leggere e accettare le condizioni di licenza.

3. Poiché il disco sarà vuoto, selezionare Personalizzata: Installa solo Windows e utilizza lo spazio su disco non inizializzato.

4. Dopo aver installato la versione del sistema operativo, accedere a questo nuovo computer come nuovo amministratore. Usare Pannello di controllo per impostare il nome del computer su PRIVDC. Nelle impostazioni di rete assegnare un indirizzo IP statico alla rete virtuale e configurare il server DNS in modo che sia quello del controller di dominio installato nel passaggio precedente. Sarà necessario riavviare il server.

5. Dopo il riavvio del server, accedere come amministratore. Utilizzando il Pannello di controllo, configurare il computer per verificare la necessità di installare eventuali aggiornamenti. L'installazione degli aggiornamenti potrebbe richiedere un riavvio del server.

Aggiungere ruoli

Aggiungere i ruoli Servizi di dominio Active Directory (AD DS) e Server DNS.

1. Avviare PowerShell come amministratore.

2. Digitare i comandi seguenti per preparare un'installazione di Windows Server Active Directory.

   import-module ServerManager
   
   Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
   

Configurare le impostazioni del Registro di sistema per la migrazione della cronologia SID

Avviare PowerShell e digitare il comando seguente per configurare il dominio di origine per consentire l'accesso RPC (Remote Procedure Call) al database di gestione degli account di sicurezza (SAM).

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Creare una nuova foresta di Privileged Access Management

Elevare quindi il server a controller di dominio di una nuova foresta.

In questa guida il nome priv.contoso.local viene usato come nome di dominio della nuova foresta. Il nome della foresta non è critico e non deve essere subordinato a un nome di foresta esistente nell'organizzazione. Tuttavia, sia i nomi NetBIOS sia il dominio della nuova foresta devono essere univoci e diversi da quelli di qualsiasi altro dominio dell'organizzazione.

Creare un dominio e una foresta

1. In una finestra di PowerShell digitare i comandi seguenti per creare il nuovo dominio. Questi comandi creeranno anche una delega DNS in un dominio superiore (contoso.local), creato in un passaggio precedente. Se si intende configurare DNS in un secondo momento, omettere i CreateDNSDelegation -DNSDelegationCredential $ca parametri.

   $ca= get-credential
   Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca
   

2. Quando il popup viene visualizzato per configurare la delega DNS, specificare le credenziali per l'amministratore della foresta CORP, che in questa guida era il nome utente CONTOSO\Administrator e la password corrispondente del passaggio 1.

3. La finestra di PowerShell ti chiederà di utilizzare una password dell'amministratore in modalità provvisoria. Immettere una nuova password due volte. Verranno visualizzati i messaggi di avviso per la delega DNS e le impostazioni di crittografia; sono normali.

Una volta completata la creazione della foresta, il server verrà riavviato automaticamente.

Creare account utente e di servizio

Creare gli account utente e del servizio per la configurazione del servizio e del portale MIM. Questi account verranno inseriti nel contenitore Users del dominio priv.contoso.local.

1. Dopo il riavvio del server, accedere a PRIVDC come amministratore di dominio (PRIV\Administrator).

2. Avviare PowerShell e digitare i comandi seguenti. La password "Pass@word1" è solo un esempio ed è consigliabile usare una password diversa per gli account.

   import-module activedirectory
   
   $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   New-ADUser –SamAccountName MIMMA –name MIMMA
   
   Set-ADAccountPassword –identity MIMMA –NewPassword $sp
   
   Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor
   
   Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp
   
   Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent
   
   Set-ADAccountPassword –identity MIMComponent –NewPassword $sp
   
   Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMSync –name MIMSync
   
   Set-ADAccountPassword –identity MIMSync –NewPassword $sp
   
   Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMService –name MIMService
   
   Set-ADAccountPassword –identity MIMService –NewPassword $sp
   
   Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName SharePoint –name SharePoint
   
   Set-ADAccountPassword –identity SharePoint –NewPassword $sp
   
   Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName SqlServer –name SqlServer
   
   Set-ADAccountPassword –identity SqlServer –NewPassword $sp
   
   Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
   
   Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
   
   Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
   
   New-ADUser -SamAccountName MIMAdmin -name MIMAdmin
   
   Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp
   
   Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1
   
   Add-ADGroupMember "Domain Admins" SharePoint
   
   Add-ADGroupMember "Domain Admins" MIMService
   

Configurare i diritti di accesso e di controllo.

È necessario configurare la verifica affinché la configurazione PAM venga stabilita tra domini forestali.

1. Assicurarsi di aver eseguito l'accesso come amministratore di dominio (PRIV\Administrator).

2. Passare a Start>Strumenti di amministrazione di Windows>Gestione Criteri di gruppo.

3. Passare a Foresta: priv.contoso.local>Domini>priv.contoso.local>Controller di dominio>Politica predefinita dei controller di dominio. Verrà visualizzato un messaggio di avviso.

4. Fare clic con il pulsante destro del mouse su Criteri controller di dominio predefiniti e scegliere Modifica.

5. Nell'albero della console dell'Editor Gestione Criteri di gruppo, passare a Configurazione computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Criteri locali>Criteri di controllo.

6. Nel riquadro Dettagli, cliccare con il tasto destro su Gestione auditing account e scegliere Proprietà. Fare clic su Definisci queste impostazioni dei criteri, selezionare la casella di controllo Operazione riuscita, selezionare la casella di controllo Errore, fare clic su Applica e quindi su OK.

7. Nel riquadro Dettagli fare clic con il pulsante destro del mouse su Verifica accesso servizio directory e scegliere Proprietà. Fare clic su Definisci queste impostazioni dei criteri, selezionare la casella di controllo Operazione riuscita, selezionare la casella di controllo Errore, fare clic su Applica e quindi su OK.

8. Passare a Configurazione Computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Criteri account>Criteri Kerberos.

9. Nel riquadro Dettagli fare clic con il pulsante destro del mouse su Durata massima per il ticket utente e selezionare Proprietà. Fare clic su Definisci queste impostazioni dei criteri, impostare il numero di ore su 1, fare clic su Applica e quindi su OK. Si noti che anche altre impostazioni nella finestra verranno modificate.

10. Nella finestra Gestione Criteri di gruppo selezionare Criteri di dominio predefiniti, fare clic con il pulsante destro del mouse e scegliere Modifica.

11. Espandi Configurazione Computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Criteri locali e seleziona Assegnazione diritti utente.

12. Nel riquadro Dettagli fare clic con il pulsante destro del mouse su Nega accesso come processo batch e scegliere Proprietà.

13. Selezionare la casella di controllo Definisci queste impostazioni criteri, fare clic su Aggiungi utente o gruppo e nel campo Nomi utente e gruppo digitare priv\mimmonitor; priv\MIMService; priv\mimcomponent e fare clic su OK.

14. Fare clic su OK per chiudere la finestra.

15. Nel riquadro Dettagli fare clic con il pulsante destro del mouse su Nega accesso tramite Servizi Desktop remoto e scegliere Proprietà.

16. Fare clic sulla casella di controllo Definisci impostazioni criteri, fare clic su Aggiungi utente o gruppo e nel campo Nomi utente e gruppo digitare priv\mimmonitor; priv\MIMService; priv\mimcomponent e fare clic su OK.

17. Fare clic su OK per chiudere la finestra.

18. Chiudi la finestra dell'Editor di Gestione dei Criteri di Gruppo e la finestra della Gestione dei Criteri di Gruppo.

19. Avviare una finestra di PowerShell con privilegi di amministratore e digitare il seguente comando per aggiornare il controller di dominio in base alle impostazioni dei criteri di gruppo.

    gpupdate /force /target:computer
    

    Dopo un minuto, l'operazione si completerà con il messaggio "Aggiornamento dei criteri del computer completato correttamente".

Configurare l'inoltro dei nomi DNS in PRIVDC

Usando PowerShell in PRIVDC, configurare l'inoltro dei nomi DNS affinché il dominio PRIV riconosca altre foreste esistenti.

1. Avviare PowerShell.

2. Per ogni dominio nella parte superiore di ogni foresta esistente, digitare il comando seguente. In questo comando specificare il dominio DNS esistente (ad esempio contoso.local) e gli indirizzi IP dei server DNS primari di tale dominio.

   Se è stato creato un dominio contoso.local nel passaggio precedente con 10.1.1.31 come indirizzo IP, specificare 10.1.1.31 per l'indirizzo IP di rete virtuale del computer CORPDC.

   Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
   

Nota

Le altre foreste devono anche essere in grado di instradare le query DNS per la foresta PRIV a questo controller di dominio. Se sono presenti più foreste Active Directory esistenti, è necessario aggiungere anche un server d'inoltro condizionale DNS a ognuna di queste foreste.

Configurare Kerberos

1. Usando PowerShell, aggiungere nomi SPN in modo che SharePoint, API REST PAM e il servizio MIM possano usare l'autenticazione Kerberos.

   setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
   setspn -S http/pamsrv PRIV\SharePoint
   setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
   setspn -S FIMService/pamsrv PRIV\MIMService
   

Nota

I passaggi successivi di questo documento descrivono come installare componenti server MIM 2016 in un singolo computer. Se si prevede di aggiungere un altro server per la disponibilità elevata, sarà necessaria una configurazione Kerberos aggiuntiva, come descritto in FIM 2010: Configurazione dell'autenticazione Kerberos.

Configurare la delega per concedere l'accesso agli account del servizio MIM

Seguire questa procedura in PRIVDC come amministratore di dominio.

1. Avvia Utenti e computer di Active Directory.

2. Fare clic con il pulsante destro del mouse sul dominio priv.contoso.local e scegliere Delega controllo.

3. Nella scheda Utenti e gruppi selezionati fare clic su Aggiungi.

4. Nella finestra Seleziona utenti, computer o gruppi digitare mimcomponent; mimmonitor; mimservice e fare clic su Controlla nomi. Dopo aver sottolineato i nomi, fare clic su OK e quindi su Avanti.

5. Nell'elenco delle attività comuni selezionare Crea, elimina e gestisci account utente e Modifica l'appartenenza di un gruppo, quindi fai clic su Avanti e Fine.

6. Anche in questo caso, fare clic con il pulsante destro del mouse sul dominio priv.contoso.local e selezionare Delega controllo.

7. Nella scheda Utenti e gruppi selezionati fare clic su Aggiungi.

8. Nella finestra Seleziona utenti, computer o gruppi immettere MIMAdmin e fare clic su Controlla nomi. Dopo aver sottolineato i nomi, fare clic su OK e quindi su Avanti.

9. Seleziona attività personalizzata, applica a questa cartella, con autorizzazioni generali.

10. Nell'elenco delle autorizzazioni selezionare le autorizzazioni seguenti:

    • Lettura
    • Scrivi
    • Creare tutti i sotto-oggetti
    • Elimina tutti gli oggetti figli
    • Leggi tutte le proprietà
    • Scrivere tutte le proprietà
    • Eseguire la migrazione della cronologia SID

11. Fare clic su Avanti, quindi su Fine.

12. Ancora una volta, fare clic con il pulsante destro del mouse sul dominio priv.contoso.local e selezionare Delega controllo.

13. Nella scheda Utenti e gruppi selezionati fare clic su Aggiungi.

14. Nella finestra Seleziona utenti, computer o gruppi immettere MIMAdmin e quindi fare clic su Controlla nomi. Dopo aver sottolineato i nomi, fare clic su OK, quindi su Avanti.

15. Selezionare un'attività personalizzata, applicare a Questa cartella, quindi fare clic solo su Oggetti utente.

16. Nell'elenco delle autorizzazioni selezionare Cambia password e Reimposta password. Fare quindi clic su Avanti e quindi su Fine.

17. Chiudi Utenti e Computer di Active Directory.

18. Aprire un prompt dei comandi.

19. Esaminare l'elenco di controllo di accesso nell'oggetto Admin SD Holder nei domini PRIV. Ad esempio, se il dominio è "priv.contoso.local", digitare il comando :

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"
    

20. Aggiornare l'elenco di controllo di accesso in base alle esigenze per assicurarsi che il servizio MIM e il servizio componente PAM MIM possano aggiornare le appartenenze dei gruppi protetti da questo elenco di controllo di accesso. Digitare il comando :

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
    

Configurare PAM in Windows Server 2016

Autorizzare quindi gli amministratori MIM e l'account del servizio MIM a creare e aggiornare le entità shadow.

1. Le funzionalità di Privileged Access Management devono essere abilitate in Windows Server 2016 Active Directory e sono presenti nella foresta PRIV. Avviare una finestra di PowerShell come amministratore e digitare i comandi seguenti.

   $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
   Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"
   

2. Avviare una finestra di PowerShell e digitare ADSIEdit.

3. Aprire il menu Azioni, fare clic su "Connetti a". Nell'impostazione Punto di connessione modificare il contesto di denominazione da "Contesto di denominazione predefinito" a "Configurazione" e fare clic su OK.

4. Dopo la connessione, sul lato sinistro della finestra sotto "MODIFICA ADSI", espandere il nodo Configurazione per visualizzare "CN=Configuration,DC=priv,....". Espandere CN=Configuration e poi espandere CN=Services.

5. Fare clic con il pulsante destro del mouse su "CN=Shadow Principal Configuration" e scegliere Proprietà. Quando viene visualizzata la finestra di dialogo delle proprietà, passare alla scheda sicurezza.

6. Fare clic su Aggiungi. Specificare gli account "MIMService", nonché qualsiasi altro amministratore MIM che in seguito eseguirà New-PAMGroup per creare gruppi PAM aggiuntivi. Per ogni utente, nell'elenco delle autorizzazioni consentite aggiungere "Write", "Create all child objects" (Crea tutti gli oggetti figlio) e "Delete all child objects" (Elimina tutti gli oggetti figlio). Aggiungere le autorizzazioni.

7. Passare a Impostazioni di sicurezza avanzate. Nella riga che consente l'accesso a MIMService fare clic su Modifica. Modificare l'impostazione "Si applica a" su "a questo oggetto e a tutti gli oggetti discendenti". Aggiornare questa impostazione di autorizzazione e chiudere la finestra di dialogo di sicurezza.

8. Chiudi ADSI Edit.

9. Autorizzare quindi gli amministratori MIM a creare e aggiornare i criteri di autenticazione. Avvia un prompt dei comandi con privilegi amministrativi e digita i comandi seguenti, sostituendo "mimadmin" con il nome del tuo account amministratore MIM in ciascuna delle quattro righe:

   dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s
   
   dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy
   
   dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s
   
   dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
   

10. Riavviare il server PRIVDC in modo che le modifiche avranno effetto.

Preparare una postazione di lavoro PRIV

Seguire queste istruzioni per preparare una postazione di lavoro. Questa workstation verrà aggiunta al dominio PRIV per l'esecuzione della manutenzione delle risorse PRIV ( ad esempio MIM).

Installare Windows 10 Enterprise

In un'altra nuova macchina virtuale senza software installato, installare Windows 10 Enterprise per creare un computer "PRIVWKSTN".

1. Utilizzare le impostazioni rapide durante l'installazione.

2. Si noti che l'installazione potrebbe non essere in grado di connettersi a Internet. Fare clic su Creare un account locale. Specificare un nome utente diverso; non utilizzare "Administrator" o "Jen".

3. Usando il Pannello di controllo, assegnare a questo computer un indirizzo IP statico nella rete virtuale e impostare il server DNS preferito dell'interfaccia in modo che sia quello del server PRIVDC.

4. Usando il Pannello di controllo, aggiungere il computer PRIVWKSTN al dominio priv.contoso.local. Questo passaggio richiederà la fornitura delle credenziali di amministratore del dominio PRIV. Al termine, riavviare il computer PRIVWKSTN.

5. Installare i pacchetti ridistribuibili di Visual C++ 2013 per Windows a 64 bit.

Per ulteriori dettagli, vedere sicurezza delle postazioni di lavoro con accesso privilegiato.

Nel passaggio successivo si preparerà un server PAM.

« Passaggio 1passaggio 3 »