この手順では、PAM によって管理される環境をホストする準備をします。 必要に応じて、新しいドメインとフォレスト ( CORP フォレスト) にドメイン コントローラーとメンバー ワークステーションも作成します。 そのフォレストへのアクセスは、次の手順で作成された PRIV フォレストを使用して、要塞環境によって管理される ID から行われます。 この CORP フォレストは、管理するリソースがある既存のフォレストをシミュレートします。 このドキュメントには、保護するリソースの例、ファイル共有が含まれています。
Windows Server 2012 R2 以降を実行しているドメイン コントローラーを持つ既存の Active Directory (AD) ドメイン (ドメイン管理者) が既にある場合は、代わりにそのドメインを使用して、この記事の「グループの作成」セクションに進んでください。
CORP ドメイン コントローラーを準備する
このセクションでは、CORP ドメインのドメイン コントローラーを設定する方法について説明します。 CORP ドメインでは、管理ユーザーは要塞環境によって管理されます。 この例で使用する CORP ドメインのドメイン ネーム システム (DNS) 名は contoso.local です。
Windows Server のインストール
WINDOWS Server 2016 以降を仮想マシンにインストールして、 CORPDC という名前のコンピューターを作成します。
Windows Server 2016 (デスクトップ エクスペリエンス搭載サーバー) を選択します。
ライセンス条項を確認して同意します。
ディスクが空になるため、[ カスタム: Windows のみをインストール ] を選択し、初期化されていないディスク領域を使用します。
その新しいコンピューターに管理者としてサインインします。 コントロール パネルに移動します。 コンピューター名を CORPDC に設定し、仮想ネットワーク上の静的 IP アドレスを指定します。 サーバーを再起動します。
サーバーが再起動したら、管理者としてサインインします。 コントロール パネルに移動します。 更新プログラムを確認し、必要な更新プログラムをインストールするようにコンピューターを構成します。 サーバーを再起動します。
ドメイン コントローラーを確立するためのロールを追加する
このセクションでは、ドメイン コントローラーになるように新しい Windows Server を設定します。 Active Directory Domain Services (AD DS)、DNS サーバー、ファイル サーバー ([ファイルと記憶域サービス] セクションの一部) の役割を追加し、このサーバーを新しいフォレスト contoso.local のドメイン コントローラーに昇格させます。
注
CORP ドメインとして使用するドメインが既にあり、そのドメインで Windows Server 2012 R2 以降がドメイン機能レベルとして使用されている場合は、「 デモンストレーションのために追加のユーザーとグループを作成する」に進むことができます。
管理者としてサインインしているときに、PowerShell を起動します。
次のコマンドを入力します。
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetworkこれにより、セーフ モードの管理者パスワードを使用するように求められます。 DNS 委任と暗号化設定の警告メッセージが表示されることに注意してください。 これらは正常です。
フォレストの作成が完了したら、サインアウトします。サーバーは自動的に再起動します。
サーバーが再起動したら、ドメインの管理者として CORPDC にサインインします。 これは通常、ユーザー CONTOSO\Administrator であり、CORPDC に Windows をインストールしたときに作成されたパスワードを持ちます。
更新プログラムのインストール (Windows Server 2012 R2 のみ)
- CORPDC のオペレーティング システムとして Windows Server 2012 R2 を使用する場合は、CORPDC に2919442、2919355、 および更新プログラムの3155495をインストール する必要があります。
グループの作成
グループがまだ存在しない場合は、Active Directory による監査目的でグループを作成します。 グループの名前は、NetBIOS ドメイン名の後に 3 ドル記号 ( CONTOSO$$ など) を付ける必要があります。
ドメインごとに、ドメイン管理者としてドメイン コントローラーにサインインし、次の手順を実行します。
PowerShell を起動します。
次のコマンドを入力しますが、"CONTOSO" をドメインの NetBIOS 名に置き換えます。
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
場合によっては、グループが既に存在している可能性があります。これは、ドメインが AD 移行シナリオでも使用されていた場合は正常です。
デモンストレーションのために追加のユーザーとグループを作成する
新しい CORP ドメインを作成した場合は、PAM シナリオを示す追加のユーザーとグループを作成する必要があります。 デモンストレーションを目的としたユーザーとグループは、ドメイン管理者にしたり、AD の adminSDHolder 設定で制御したりしないでください。
注
CORP ドメインとして使用するドメインが既にあり、デモンストレーションのために使用できるユーザーとグループがある場合は、「 監査の構成」セクションに進むことができます。
CorpAdmins という名前のセキュリティ グループと Jen という名前のユーザーを作成します。 必要に応じて、別の名前を使用できます。 スマートカードなど、既存のユーザーが既にある場合は、新しいユーザーを作成する必要はありません。
PowerShell を起動します。
次のコマンドを入力します。 パスワード 'Pass@word1' を別のパスワード文字列に置き換えます。
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
監査の構成
これらのフォレストで PAM 構成を確立するには、既存のフォレストで監査を有効にする必要があります。
ドメインごとに、ドメイン管理者としてドメイン コントローラーにサインインし、次の手順を実行します。
スタート>Windows 管理ツールに移動し、グループ ポリシー管理を起動します。
このドメインのドメイン コントローラー ポリシーに移動します。 contoso.local の新しいドメインを作成した場合は、 フォレスト (contoso.local>Domains>contoso.local>Domain Controllers>Default ドメイン コントローラー ポリシー) に移動します。 情報メッセージが表示されます。
[既定のドメイン コントローラー ポリシー] を右クリックし、[編集] を選択します。 新しいウィンドウが開きます。
[グループ ポリシー管理エディター] ウィンドウの [既定のドメイン コントローラー ポリシー] ツリーで、[ コンピューターの構成>ポリシー>Windows の設定>セキュリティ設定>ローカル ポリシー>Audit ポリシーに移動します。
詳細ウィンドウで、[ アカウント管理の監査 ] を右クリックし、[ プロパティ] を選択します。 [ これらのポリシー設定を定義する] を選択し、[ 成功] にチェック ボックスを入れ、[ 失敗] にチェック ボックスを入れ、[ 適用 ] をクリックして [OK] をクリックします。
詳細ウィンドウで、[ ディレクトリ サービス アクセスの監査 ] を右クリックし、[ プロパティ] を選択します。 [ これらのポリシー設定を定義する] を選択し、[ 成功] にチェック ボックスを入れ、[ 失敗] にチェック ボックスを入れ、[ 適用 ] をクリックして [OK] をクリックします。
[グループ ポリシー管理エディター] ウィンドウと [グループ ポリシー管理] ウィンドウを閉じます。
PowerShell ウィンドウを起動して次のように入力して、監査設定を適用します。
gpupdate /force /target:computer
コンピューター ポリシーの更新が正常に完了したというメッセージは、数分後に表示されます。
レジストリ設定を構成する
このセクションでは、特権アクセス管理グループの作成に使用される sID 履歴の移行に必要なレジストリ設定を構成します。
PowerShell を起動します。
次のコマンドを入力して、セキュリティ アカウント マネージャー (SAM) データベースへのリモート プロシージャ コール (RPC) アクセスを許可するようにソース ドメインを構成します。
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
これにより、ドメイン コントローラー CORPDC が再起動されます。 このレジストリ設定の詳細については、「 ADMTv2 を使用したフォレスト間 sIDHistory 移行のトラブルシューティング方法」を参照してください。
デモンストレーションのために CORP リソースを準備する
PAM を使用してセキュリティ グループベースのアクセス制御をデモンストレーションするために、ドメイン内に少なくとも 1 つのリソースが必要です。 リソースがまだない場合は、 デモンストレーションのために CORP ドメインに参加しているサーバー上のファイル フォルダーを使用できます。 これにより、contoso.local ドメインで作成した "Jen" および "CorpAdmins" AD オブジェクトが使用されます。
管理者としてサーバーに接続します。
CorpFS という名前の新しいフォルダーを作成し、CorpAdmins グループと共有します。 管理者として PowerShell を開き、次のコマンドを入力します。
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $aclPRIV ユーザーは別のフォレストからこのサーバーに接続するため、このサーバーのファイアウォール構成を変更して、ユーザーのコンピューターがこのサーバーに接続できるようにする必要がある場合があります。
次の手順では、PRIV ドメイン コントローラーを準備します。