Поделиться через

Шаг 2. Подготовка первого контроллера домена PRIV

"Шаг 1Шаг 3"

На этом шаге вы создадите новый домен, который предоставит защитную среду для аутентификации администратора. В этом лесу потребуется по крайней мере один контроллер домена, рабочая станция-член и по крайней мере один сервер-член. Сервер-член будет настроен на следующем этапе.

Создание контроллера домена управления привилегированным доступом

В этом разделе вы настроите виртуальную машину для работы в качестве контроллера домена для нового леса.

Установка Windows Server 2016 или более поздней версии

На другой новой виртуальной машине без установленного программного обеспечения установите Windows Server 2016 или более поздней версии, чтобы сделать компьютер PRIVDC.

  1. Выберите, чтобы выполнить выборочную установку Windows Server (а не обновление). При установке укажите Windows Server 2016 (сервер с рабочим столом); Не выбирайтецентр обработки данных или серверную ядро.

  2. Просмотрите и примите лицензионные условия.

  3. Так как диск будет пустым, выберите "Настраиваемый": установите только Windows и используйте неинициализированное место на диске.

  4. После установки версии операционной системы войдите на новый компьютер в качестве нового администратора. Используйте панель управления, чтобы задать имя компьютера PRIVDC. В параметрах сети предоставьте ему статический IP-адрес в виртуальной сети и настройте DNS-сервер таким образом, чтобы контроллер домена был установлен на предыдущем шаге. Необходимо перезапустить сервер.

  5. После перезапуска сервера войдите от имени администратора. С помощью панели управления настройте компьютер для проверки обновлений и установите все необходимые обновления. Установка обновлений может потребовать перезагрузки сервера.

Добавить роли

Добавьте роли служб домен Active Directory (AD DS) и DNS-сервера.

  1. Запустите PowerShell от имени администратора.

  2. Введите следующие команды, чтобы подготовиться к установке Windows Server Active Directory.

    import-module ServerManager

Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools

Настройка параметров реестра для миграции истории SID

Запустите PowerShell и введите следующую команду, чтобы настроить исходный домен для разрешения удаленного вызова процедур (RPC) к базе данных диспетчера учетных записей безопасности (SAM).

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Создайте новый лес для управления привилегированным доступом

Затем повысьте сервер до контроллера домена нового леса.

В этом руководстве имя priv.contoso.local используется как доменное имя для нового леса. Название леса не имеет решающего значения, и ему не обязательно подчиняться существующему названию леса в организации. Тем не менее как имя домена, так и имя NetBIOS нового леса должны быть уникальными и различаться от имен любых других доменов в организации.

Создание домена и леса

  1. В окне PowerShell введите следующие команды, чтобы создать новый домен. Эти команды также создадут делегирование DNS в превосходном домене (contoso.local), созданном на предыдущем шаге. Если вы планируете настроить DNS позже, опустите CreateDNSDelegation -DNSDelegationCredential $ca параметры.

    $ca= get-credential
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca

  2. Когда появится всплывающее окно для настройки делегирования DNS, введите учетные данные администратора леса CORP, имя пользователя в этом руководстве — CONTOSO\Administrator, и соответствующий пароль из шага 1.

  3. В окне PowerShell появится запрос на использование пароля администратора безопасного режима. Дважды введите новый пароль. Будут отображаться предупреждения для делегирования DNS и параметров шифрования; это нормально.

После создания леса сервер перезагрузится автоматически.

Создание учетных записей пользователей и служб

Создайте учетные записи пользователей и служб для настройки службы MIM и портала. Эти учетные записи будут доступны в контейнере Users домена priv.contoso.local.

  1. После перезапуска сервера войдите в PRIVDC в качестве администратора домена (PRIV\Administrator).

  2. Запустите PowerShell и введите следующие команды. Пароль "Pass@word1" является лишь примером, и вы должны использовать другой пароль для учетных записей.

    import-module activedirectory

$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMMA –name MIMMA

Set-ADAccountPassword –identity MIMMA –NewPassword $sp

Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor

Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp

Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent

Set-ADAccountPassword –identity MIMComponent –NewPassword $sp

Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMSync –name MIMSync

Set-ADAccountPassword –identity MIMSync –NewPassword $sp

Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMService –name MIMService

Set-ADAccountPassword –identity MIMService –NewPassword $sp

Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SharePoint –name SharePoint

Set-ADAccountPassword –identity SharePoint –NewPassword $sp

Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SqlServer –name SqlServer

Set-ADAccountPassword –identity SqlServer –NewPassword $sp

Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName BackupAdmin –name BackupAdmin

Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp

Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1

New-ADUser -SamAccountName MIMAdmin -name MIMAdmin

Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp

Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1

Add-ADGroupMember "Domain Admins" SharePoint

Add-ADGroupMember "Domain Admins" MIMService

Настройте права аудита и входа в систему.

Для установки конфигурации PAM в лесах необходимо настроить аудит.

  1. Убедитесь, что вы выполнили вход в качестве администратора домена (PRIV\Administrator).

  2. Перейдите в меню Пуск>Инструменты администрирования Windows>Управление групповой политикой.

  3. Перейдите в Лес: priv.contoso.local>Домены>priv.contoso.local>Контроллеры доменов>Политика контроллеров доменов по умолчанию. Появится предупреждение.

  4. Щелкните правой кнопкой мыши политику контроллеров домена по умолчанию и выберите "Изменить".

  5. В дереве консоли "Редактор управления групповыми политиками" перейдите к Конфигурации компьютера>Политики>Параметры Windows>Параметры безопасности>Локальные политики>Политика аудита.

  6. В области сведений щелкните правой кнопкой мыши на Аудит управления учетными записями и выберите Свойства. Нажмите Определить эти параметры политики, установите флажок Успех, установите флажок Сбой, нажмите Применить и затем ОК.

  7. В области "Сведения" щелкните правой кнопкой мыши доступ к службе каталогов аудита и выберите "Свойства". Нажмите Определить эти параметры политики, установите флажок Успех, установите флажок Сбой, нажмите Применить и затем ОК.

  8. Перейдите к Конфигурации компьютера>Политики>Настройки Windows>Параметры безопасности>Политики учетных записей>Политика Kerberos.

  9. В панели сведений щелкните правой кнопкой мыши на максимальное время существования пользовательского билета и выберите Свойства. Нажмите кнопку "Определить эти параметры политики", задайте для параметра 1 количество часов, нажмите кнопку "Применить", а затем нажмите кнопку "ОК". Обратите внимание, что изменятся и другие параметры в этом окне.

  10. В окне "Управление групповыми политиками" выберите политику домена по умолчанию, щелкните правой кнопкой мыши и выберите "Изменить".

  11. Разверните Конфигурация компьютера>Политики>Параметры Windows>Параметры безопасности>Локальные политики и выберите Назначение прав пользователя.

  12. На панели "Сведения" щелкните правой кнопкой мыши Запретить вход в систему в качестве пакетного задания и выберите Свойства.

  13. Установите флажок "Определить эти параметры политик", нажмите кнопку "Добавить пользователя или группу", а затем в поле "Имена пользователей и групп", введите priv\mimmonitor; priv\MIMService; priv\mimcomponent и нажмите кнопку "ОК".

  14. Нажмите кнопку ОК , чтобы закрыть окно.

  15. В области "Детали" щелкните правой кнопкой мыши на запрет входа через службы удаленных рабочих столов и выберите Свойства.

  16. Установите флажок "Определить эти параметры политик", нажмите кнопку "Добавить пользователя или группу" и в поле "Имена пользователей и групп", введите priv\mimmonitor; priv\MIMService; priv\mimcomponent и нажмите кнопку "ОК".

  17. Нажмите кнопку ОК , чтобы закрыть окно.

  18. Закройте окно редактора управления групповыми политиками и окно управления групповыми политиками.

  19. Откройте окно PowerShell от имени администратора и введите следующую команду, чтобы обновить контроллер домена согласно параметрам групповой политики.

    gpupdate /force /target:computer

    Через минуту появится сообщение, что обновление политики компьютера успешно завершилось.

Настройте перенаправление имен DNS на сервере PRIVDC.

С помощью PowerShell в PRIVDC настройте перенаправление DNS-имен, чтобы домен PRIV распознал другие существующие леса.

  1. Запустите PowerShell.

  2. Для каждого домена, находящегося на вершине каждого существующего леса, введите следующую команду. В этой команде укажите существующий домен DNS (например, contoso.local) и IP-адреса основных DNS-серверов этого домена.

    Если вы создали один домен contoso.local на предыдущем шаге с IP-адресом виртуальной сети компьютера CORPDC в качестве IP-адреса, укажите 10.1.1.31 для IP-адреса виртуальной сети компьютера CORPDC.

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31

Примечание.

Другие леса также должны иметь возможность перенаправлять DNS-запросы из леса PRIV к этому контроллеру домена. Если у вас несколько существующих лесов Active Directory, то необходимо также добавить условный пересылатель DNS в каждый из этих лесов.

Настройка Kerberos

  1. С помощью PowerShell добавьте SPN, чтобы SharePoint, PAM REST API и служба MIM могли использовать аутентификацию Kerberos.

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
setspn -S http/pamsrv PRIV\SharePoint
setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
setspn -S FIMService/pamsrv PRIV\MIMService

Примечание.

В следующих шагах этого документа описывается установка компонентов сервера MIM 2016 на одном компьютере. Если вы планируете добавить другой сервер для обеспечения высокой доступности, вам потребуется дополнительная конфигурация Kerberos, как описано в FIM 2010: Kerberos Authentication Setup.

Настройка делегирования для предоставления доступа к учетным записям службы MIM

Выполните следующие действия в PRIVDC в качестве администратора домена.

  1. Запустите Пользователи и компьютеры Active Directory.

  2. Щелкните правой кнопкой мыши домен priv.contoso.local и выберите "Делегирование управления".

  3. На вкладке "Выбранные пользователи и группы" нажмите кнопку "Добавить".

  4. В окне выбора пользователей, компьютеров или групп введите mimcomponent; mimmonitor; mimservice и нажмите кнопку " Проверить имена". После подчеркиванием имен нажмите кнопку "ОК" и "Далее".

  5. В списке распространенных задач выберите "Создать, удалить и управлять учетными записями пользователей" и "Изменить членство в группе", а затем нажмите кнопку "Далее" и "Готово".

  6. Снова щелкните правой кнопкой мыши домен priv.contoso.local и выберите "Делегирование управления".

  7. На вкладке "Выбранные пользователи и группы" нажмите кнопку "Добавить".

  8. В окне выбора пользователей, компьютеров или групп введите MIMAdmin и нажмите кнопку " Проверить имена". После подчеркиванием имен нажмите кнопку "ОК" и "Далее".

  9. Выберите пользовательскую задачу, примените к этой папкеобщие разрешения.

  10. В списке разрешений выберите следующие разрешения:

    • Читайте
    • Написать
    • Создание всех дочерних объектов
    • Удаление всех дочерних объектов
    • Чтение всех свойств
    • Запись всех свойств
    • Перенос истории SID

  11. Нажмите кнопку "Далее", а затем "Готово".

  12. Еще раз щелкните правой кнопкой мыши домен priv.contoso.local и выберите "Делегирование управления".

  13. На вкладке "Выбранные пользователи и группы" нажмите кнопку "Добавить".

  14. В окне выбора пользователей, компьютеров или групп введите MIMAdmin и нажмите кнопку "Проверить имена". После подчеркиванием имен нажмите кнопку "ОК", а затем " Далее".

  15. Выберите пользовательскую задачу, примените ее к этой папке, а затем щелкните только объекты пользователя.

  16. В списке разрешений выберите "Изменить пароль " и "Сбросить пароль". Затем нажмите кнопку "Далее", а затем "Готово".

  17. Закройте окно "Пользователи и компьютеры Active Directory".

  18. Откройте командную строку.

  19. Просмотрите список управления доступом для объекта Admin SD Holder в доменах PRIV. Например, если домен был priv.contoso.local, введите команду:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"

  20. Обновите список управления доступом по мере необходимости, чтобы служба MIM и служба компонентов PAM MIM могли обновлять членство в группах, защищенных этим списком ACL. Введите команду:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"

Настройка PAM в Windows Server 2016

Затем авторизуйте администраторов MIM и учетную запись службы MIM для создания и обновления теневых субъектов.

  1. Убедитесь, что функции управления привилегированным доступом в Windows Server 2016 Active Directory присутствуют и включены в лесу PRIV. Запустите окно PowerShell от имени администратора и введите следующие команды.

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"

  2. Запустите окно PowerShell и введите ADSIEdit.

  3. Откройте меню "Действия" и нажмите кнопку "Подключиться к". В параметре точки подключения измените контекст именования с "Контекст именования по умолчанию" на "Конфигурация" и нажмите кнопку "ОК".

  4. После подключения в левой части окна ниже "ADSI Edit" разверните узел конфигурации, чтобы увидеть "CN=Configuration,DC=priv,....". Разверните узел CN=Configuration, а затем CN=Services.

  5. Щелкните правой кнопкой мыши на элементе "CN=Shadow Principal Configuration" и выберите пункт "Свойства". При появлении диалогового окна свойств перейдите на вкладку безопасности.

  6. Нажмите кнопку Добавить. Назначьте учетные записи "MIMService", а также всех других администраторов MIM, которые позже будут выполнять команду New-PAMGroup для создания дополнительных групп PAM. Для каждого пользователя в списке разрешенных разрешений добавьте "Запись", "Создать все дочерние объекты" и "Удалить все дочерние объекты". Добавьте разрешения.

  7. Перейдите к параметрам расширенной безопасности. В строке, которая разрешает доступ MIMService, нажмите кнопку "Изменить". Измените параметр "Область применения" на "для этого объекта и всех потомков". Обновите этот параметр разрешения и закройте диалоговое окно безопасности.

  8. Закройте окно ADSI Edit.

  9. Затем авторизуйте администраторов MIM для создания и обновления политики проверки подлинности. Запустите командную строку с повышенными привилегиями и введите следующие команды, заменив имя учетной записи администратора MIM на "Mimadmin" в каждой из четырех строк:

    dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s

dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo

  10. Перезапустите сервер PRIVDC, чтобы эти изменения вступили в силу.

Подготовка рабочей станции PRIV

Следуйте этим инструкциям, чтобы подготовить рабочую станцию. Эта рабочая станция будет присоединена к домену PRIV для выполнения обслуживания ресурсов PRIV (например, MIM).

Установка Windows 10 Корпоративная

На другой новой виртуальной машине без установленного программного обеспечения установите Windows 10 Энтерпрайз, чтобы компьютер назывался PRIVWKSTN.

  1. При установке используйте экспресс-параметры.

  2. Обратите внимание, что при установке может не удастся подключиться к Интернету. Щелкните, чтобы создать локальную учетную запись. Укажите другое имя пользователя. Не используйте имена Administrator и Jen.

  3. Используя панель управления, присвойте этому компьютеру статический IP-адрес виртуальной сети и задайте предпочтительный DNS-сервер интерфейса для сервера PRIVDC.

  4. Используя Панель управления, подключите компьютер PRIVWKSTN к домену priv.contoso.local. На этом шаге потребуется предоставить учетные данные администратора домена PRIV. После завершения перезагрузите компьютер PRIVWKSTN.

  5. Установите распространяемые пакеты Visual C++ 2013 для 64-разрядной версии Windows.

Дополнительные сведения см. в статье о защите рабочих станций привилегированного доступа.

На следующем шаге вы подготовите сервер PAM.

"Шаг 1Шаг 3"