Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этом шаге вы подготовитесь к размещению среды, управляемой PAM. При необходимости вы также создадите контроллер домена и рабочую станцию, входящую в состав нового домена и леса CORP. Доступ к такому лесу будет осуществляться через учетные записи, управляемые опорной средой, с лесом PRIV, созданным на следующем шаге. Этот лес CORP имитирует существующий лес, имеющий ресурсы для управления. В этом документе содержится пример ресурса, который необходимо защитить, общую папку.
Если у вас уже есть домен Active Directory (AD) с контроллером домена под управлением Windows Server 2012 R2 или более поздней версии, где вы являетесь администратором домена, вы можете использовать этот домен и перейти к разделу "Создать группу" в этой статье.
Подготовка контроллера домена CORP
В этом разделе описывается настройка контроллера домена для домена CORP. В домене CORP управление пользователями-администраторами осуществляется средой под названием bastion. Имя системы доменных имен (DNS) домена CORP, используемого в этом примере, contoso.local.
Установка Windows Server
Установите Windows Server 2016 или более поздней версии на виртуальной машине, чтобы создать компьютер с именем CORPDC.
Выберите Windows Server 2016 (Сервер с интерфейсом рабочего стола).
Просмотрите и примите условия лицензионного соглашения.
Так как диск будет пустым, выберите Custom: Установите Windows только и используйте неинициализированное дисковое пространство.
Войдите на новый компьютер с правами администратора. Перейдите на панель управления. Задайте имя компьютера для CORPDCи присвойте ему статический IP-адрес в виртуальной сети. Перезапустите сервер.
После перезапуска сервера войдите от имени администратора. Перейдите на панель управления. Настройте компьютер для проверки наличия обновлений и установки необходимых обновлений. Перезапустите сервер.
Добавление ролей для установки контроллера домена
В этом разделе описано, как настроить новый Windows Server для создания контроллера домена. Вы добавите доменные службы Active Directory (AD DS), DNS-сервер и файловый сервер (часть раздела "Службы файлов и службы хранилища"), и назначите этот сервер в качестве контроллера домена нового леса contoso.local.
Примечание.
Если у вас уже есть домен, используемый в качестве домена CORP, и этот домен использует Windows Server 2012 R2 или более поздней версии в качестве функционального уровня домена, вы можете перейти к Создать дополнительных пользователей и группы для демонстрационных целей.
Во время входа в систему от имени администратора запустите PowerShell.
Введите следующие команды.
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetworkБудет предложено использовать пароль администратора безопасного режима. Обратите внимание, что будут отображаться предупреждения для делегирования DNS и параметров шифрования. Это нормально.
После завершения создания леса выйдите из нее. Сервер перезагрузится автоматически.
После перезапуска сервера войдите в CORPDC в качестве администратора домена. Обычно это пользователь CONTOSO\Administrator, который будет иметь пароль, созданный при установке Windows в CORPDC.
Установка обновлений (только Windows Server 2012 R2)
- Если вы решили использовать Windows Server 2012 R2 в качестве операционной системы для CORPDC, необходимо установить исправления 2919442, 2919355, и обновить 3155495 в CORPDC.
Создание группы
Создайте группу для аудита с помощью Active Directory, если группа еще не существует. Имя группы должно быть доменным именем NetBIOS, за которым следует три знака доллара, например CONTOSO.
Для каждого домена войдите в контроллер домена в качестве администратора домена и выполните следующие действия:
Запустите PowerShell.
Введите следующие команды, но замените «CONTOSO» именем NetBIOS вашего домена.
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
В некоторых случаях группа уже может существовать — это нормально, если домен также использовался в сценариях миграции AD.
Создание дополнительных пользователей и групп для демонстрационных целей
Если вы создали новый домен CORP, необходимо создать дополнительных пользователей и групп для демонстрации сценария PAM. Пользователь и группа для демонстрационных целей не должны быть администраторами домена или контролироваться параметрами adminSDHolder в AD.
Примечание.
Если у вас уже есть домен, который вы будете использовать в качестве домена CORP, и у него есть пользователь и группа, которую можно использовать для демонстрационных целей, можно перейти к разделу Настройка аудита.
Мы создадим группу безопасности с именем CorpAdmins и пользователя с именем Jen. При желании можно использовать разные имена. Если у вас уже есть существующий пользователь, например с смарт-картой, вам не потребуется создать нового пользователя.
Запустите PowerShell.
Введите следующие команды. Замените пароль "Pass@word1" другой строкой пароля.
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
Настройка аудита
Чтобы установить конфигурацию PAM в этих лесах, необходимо включить аудит в существующих лесах.
Для каждого домена войдите в контроллер домена в качестве администратора домена и выполните следующие действия:
Перейдите к запуску>средств администрирования Windows и запустите управления групповыми политиками.
Перейдите к политике контроллеров домена для этого домена. Если вы создали новый домен для contoso.local, перейдите к Лес: contoso.local>Домен>contoso.local>Контроллеры домена>Политика по умолчанию для контроллеров домена. Появится информационное сообщение.
Щелкните правой кнопкой мыши на Политика контроллеров домена по умолчанию и выберите Изменить. Откроется новое окно.
В окне редактора управления групповыми политиками в политике контроллеров домена по умолчанию перейдите в раздел Конфигурация компьютера>Политики>Параметры Windows>Параметры безопасности>Локальные политики>Политики аудита.
В области сведений щелкните правой кнопкой мыши на Аудит управления учетными записями и выберите Свойства. Выберите Определить эти параметры политики, установите флажок Успех, установите флажок Неудача, нажмите Применить и ОК.
В области сведений щелкните правой кнопкой мыши Доступ к службе каталогов аудита и выберите Свойства. Выберите Определить эти параметры политики, установите флажок Успех, установите флажок Неудача, нажмите Применить и ОК.
Закройте окно редактора управления групповыми политиками и окно управления групповыми политиками.
Примените параметры аудита, запустите окно PowerShell и введите следующее:
gpupdate /force /target:computer
Сообщение об успешном завершении обновления политики компьютера должно появиться через несколько минут.
Настройка параметров реестра
В этом разделе описаны параметры реестра, необходимые для миграции журнала SID, которые будут использоваться для создания группы управления привилегированным доступом.
Запустите PowerShell.
Введите следующие команды, чтобы настроить исходный домен, чтобы разрешить удаленный вызов процедур (RPC) к базе данных диспетчера учетных записей безопасности (SAM).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
Будет перезапущен контроллер домена CORPDC. Дополнительные сведения об этом параметре реестра см. в статье Устранение неполадок миграции sIDHistory между лесами с помощью ADMTv2.
Подготовка ресурса CORP для демонстрационных целей
Для демонстрации управления доступом на основе группы безопасности с помощью PAM потребуется по крайней мере один ресурс в домене. Если у вас еще нет ресурса, можно использовать папку файлов на сервере, присоединенном к домену CORP в целях демонстрации. Это позволит использовать объекты AD Jen и CorpAdmins, созданные в домене contoso.local.
Подключитесь к серверу от имени администратора.
Создайте папку с именем CorpFS и поделитесь ею с группой CorpAdmins. Откройте PowerShell от имени администратора и введите следующие команды.
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $aclТак как PRIV пользователь будет подключаться к этому серверу из другого леса, может потребоваться изменить конфигурацию брандмауэра на этом сервере, чтобы позволить компьютеру пользователя подключаться к этому серверу.
На следующем шаге вы подготовите контроллер домена PRIV.