Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Skapande av privilegierat konto i PRIV-skogen görs med hjälp av PowerShell-cmdletar. Dessa cmdletar utför följande funktioner:
- Skapa en ny grupp i PRIV-skogen med samma säkerhetsidentifierare (SID) som en grupp i CORP-skogen.
- Skapa ett objekt i MIM-tjänstdatabasen som motsvarar gruppen i PRIV-skogen.
- För varje användarkonto skapar du två objekt i MIM-tjänstdatabasen som motsvarar användaren i CORP-skogen och det nya användarkontot i PRIV-skogen.
- Skapa ett PAM-rollobjekt i MIM-tjänstdatabasen.
Cmdlets måste köras en gång per grupp och en gång per medlem i varje grupp. Migrerings-cmdletarna ändrar inte användare eller grupper i CORP-skogen: PAM-administratören gör det manuellt efteråt.
Logga in på PAMSRV, antingen direkt eller från en PRIV-arbetsstation, som PRIV\MIMAdmin.
Starta PowerShell och skriv följande kommandon.
Import-Module MIMPAM
Import-Module ActiveDirectory
Skapa ett motsvarande användarkonto i PRIV för ett användarkonto i en befintlig skog i demonstrationssyfte.
Skriv följande kommandon i PowerShell. Om du inte använde namnet Jen för att skapa användaren i contoso.local tidigare ändrar du parametrarna för kommandot efter behov. Lösenordet "Pass@word1" är bara ett exempel och bör ändras till ett unikt lösenordsvärde.
$sj = New-PAMUser –SourceDomain CONTOSO.local –SourceAccountName Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity priv.Jen –NewPassword $jp Set-ADUser –identity priv.Jen –Enabled 1Kopiera en grupp och dess medlem Jen från CONTOSO till PRIV-domänen i demonstrationssyfte.
Kör följande kommandon och ange lösenordet för CORP-domänens administratör (CONTOSO\Administratör) där du blir ombedd.
$ca = get-credential –UserName CONTOSO\Administrator –Message "CORP forest domain admin credentials" $pg = New-PAMGroup –SourceGroupName "CorpAdmins" –SourceDomain CONTOSO.local –SourceDC CORPDC.contoso.local –Credentials $ca $pr = New-PAMRole –DisplayName "CorpAdmins" –Privileges $pg –Candidates $sjSom referens tar kommandot New-PAMGroup följande parametrar:
- CORP-skogens domännamn i NetBIOS-format
- Namnet på den grupp som ska kopieras från domänen
- CORP-skogens domänkontrollant NetBIOS-namn
- Autentiseringsuppgifterna för en domänadministratörsanvändare i CORP-skogen
(Valfritt) På CORPDC tar du bort Jens konto från gruppen CONTOSO CorpAdmins, om det fortfarande finns. Detta behövs bara i demonstrationssyfte för att illustrera hur behörigheter kan associeras med konton som skapats i PRIV-skogen.
Logga in på CORPDC som CONTOSO\Administrator.
Starta PowerShell, kör följande kommando och bekräfta ändringen.
Remove-ADGroupMember -identity "CorpAdmins" -Members "Jen"
Om du vill visa att åtkomsträttigheter mellan skogar är effektiva för användarens administratörskonto fortsätter du till nästa steg.