PRIV 도메인 설정
압축된 파일을 $env:SYSTEMDRIVE\PAM 폴더에 압축 해제한 후, PAMDeploymentConfig.xml 파일을 열어 PRIV 포리스트의 세부 정보를 입력합니다. DNSName, NetbiosName, DC 이름, 데이터베이스/로그 경로 및 sysvol 폴더 경로를 업데이트합니다. 또한 Domain &ForestMode를 Windows Server 2016(WinThreshold)으로 업데이트합니다.
- 관리자 권한으로 PRIV 도메인 DC에 로그인
- 관리자 권한으로 PowerShell 실행
- cd $env:SYSTEMDRIVE\PAM
- import-module .\PAMDeployment.ps1 (이 명령어는 PAMDeployment.ps1 모듈을 가져옵니다.)
- 메뉴 옵션 9 선택(PRIV 포리스트 설정)
DC는 완료 후 자동으로 다시 부팅됩니다. DSRM(디렉터리 서비스 복원 모드) 관리자 암호는 다음 조건과 일치해야 합니다.
- 암호 길이는 최소 15자입니다.
- 암호에 하나 이상의 소문자 포함
- 암호에는 하나 이상의 대문자가 포함되어야 합니다.
- 암호에 하나 이상의 숫자 또는 특수 문자가 포함되어 있습니다.
PRIV 도메인 구성
- PRIVDC에 관리자 권한으로 로그인
- 관리자 권한으로 PowerShell 실행
- cd $env:SYSTEMDRIVE\PAM
- .\PAMDeployment.ps1
- 메뉴 옵션 1 선택(PRIV 포레스트 구성)
SQL, SharePoint 및 MIM을 관리하는 데 필요한 서비스 계정은 도메인에 아직 없는 경우 자동으로 만들어집니다. 스크립트를 실행하는 동안 이러한 서비스 계정을 만들기 위한 암호를 입력하라는 메시지가 표시됩니다.
배포할 때 PRIV 도메인 기능 수준을 Windows Server 2016으로 설정해야 합니다. 스크립트는 PAM에 필요한 선택적 Active Directory '권한 있는 액세스 관리 기능'을 사용하도록 설정하라는 메시지를 표시합니다. 계속하려면 '예'를 확인합니다. 관리자가 기능 수준을 Windows Server 2016으로 올리면 PAMDeployment.ps1 및 PAM 포리스트 구성을 다시 실행해야 하므로 Windows Server 2016 아래의 기능 수준에 PAM을 배포하지 마세요.
비고
PRIVOnly 구성에는 다음 단계가 필요하지 않습니다.
- $env:SYSTEMDRIVE\PAM에서 생성된 SIDs.txt CORPDC의 유사한 폴더에 복사합니다.
- PRIV 사용자가 CORP 사용자 속성을 읽을 수 있도록 후속 단계에서 권한을 설정하려면 CORPDC에서 이 SID 목록이 필요합니다.
- 스크립트가 완료되면 변경 내용이 적용되도록 컴퓨터를 다시 부팅하라는 메시지가 표시됩니다.