Passo 1: Configurar o domínio PRIV
Configurar o domínio PRIV
Após descomprimir o ficheiro comprimido para a pasta $env:SYSTEMDRIVE\PAM, edite o PAMDeploymentConfig.xml para fornecer detalhes da floresta PRIV. Atualize o DNSName, o NetbiosName, o nome DC, o Caminho da Base de Dados/Registo & caminho da pasta sysvol. Atualize também o Domain & ForestMode para Windows Server 2016 (WinThreshold).
- Iniciar sessão no DC do domínio PRIV como Administrador
- Execute o PowerShell como Administrador
- cd $env:SYSTEMDRIVE\PAM
- import-module .\PAMDeployment.ps1
- selecionar opção de menu 9 (Configuração da Floresta PRIV)
O DC reiniciará automaticamente após a conclusão. A palavra-passe de administrador do Modo de Restauro de Serviços de Diretório (DSRM) tem de cumprir os seguintes critérios:
- O comprimento da palavra-passe tem um mínimo de 15 carateres
- A palavra-passe contém, pelo menos, um caráter em minúsculas
- A palavra-passe contém, pelo menos, um caráter em MAIÚSCULAS
- A palavra-passe contém, pelo menos, um digito ou caráter especial
Configurar o domínio PRIV
- Iniciar sessão no PRIVDC como Administrador
- Execute o PowerShell como Administrador
- cd $env:SYSTEMDRIVE\PAM
- .\PAMDeployment.ps1
- Selecione a Opção 1 do Menu (Configuração da Floresta PRIV)
As Contas de Serviço necessárias para gerir o SQL, o SharePoint e o MIM são criadas automaticamente, se ainda não estiverem presentes no domínio. Ser-lhe-á pedido que introduza as palavras-passe para a criação destas contas de serviço durante a execução do script.
Ao implementar, o Nível Funcional do domínio PRIV deve ser definido como Windows Server 2016. O script pedirá para ativar a "Funcionalidade de Gestão de Acesso Privilegiado" opcional do Active Directory exigida pelo PAM. Escolha “Sim” para continuar. Não implemente o PAM para níveis funcionais abaixo Windows Server 2016, uma vez que terá de voltar a executar o PAMDeployment.ps1 e a Configuração da Floresta de PAM, assim que o administrador elevar o nível funcional para Windows Server 2016.
Nota
Os passos seguintes não são necessários para configurações PRIVOnly
- Copie o SIDs.txt criado em $env:SYSTEMDRIVE\PAM para a pasta semelhante no CORPDC.
- Precisará desta lista de SIDs no CORPDC para configurar permissões num passo subsequente para que os utilizadores priv possam ler as propriedades do utilizador CORP.
- Após a conclusão do script, ser-lhe-á pedido que reinicie o computador para que as alterações tenham efeito.