2. Adım - İlk PRIV etki alanı denetleyicisini hazırlama
Bu adımda, yönetici kimlik doğrulaması için savunma ortamını sağlayacak yeni bir etki alanı oluşturacaksınız. Bu ormanda en az bir etki alanı denetleyicisi, bir üye iş istasyonu ve en az bir üye sunucu gerekir. Üye sunucu bir sonraki adımda yapılandırılacaktır.
Yeni bir Privileged Access Management etki alanı denetleyicisi oluşturma
Bu bölümde, yeni bir orman için etki alanı denetleyicisi olarak davranacak bir sanal makine ayarlayacaksınız.
Windows Server 2016 veya üzerini yükleme
Yazılım yüklü olmayan başka bir yeni sanal makinede, bir bilgisayarı "PRIVDC" yapmak için Windows Server 2016 veya sonraki bir sürümü yükleyin.
Windows Server'ın özel (yükseltme değil) yüklemesini gerçekleştirmek için seçin. Yüklerken Windows Server 2016 (Masaüstü Deneyimi ile Sunucu); Veri Merkezi'ne veya Sunucu Çekirdeği'ne tıklayın.
Lisans koşullarını gözden geçirin ve kabul edin.
Disk boş olacağından Özel: Yalnızca Windows'u yükle'yi seçin ve başlatılmamış disk alanını kullanın.
İşletim sistemi sürümünü yükledikten sonra bu yeni bilgisayarda yeni yönetici olarak oturum açın. Bilgisayar adını PRIVDC olarak ayarlamak için Denetim Masası kullanın. Ağ ayarlarında, sanal ağda statik bir IP adresi verin ve DNS sunucusunu önceki adımda yüklü olan etki alanı denetleyicisininki olacak şekilde yapılandırın. Sunucuyu yeniden başlatmanız gerekir.
Sunucu yeniden başlatıldıktan sonra yönetici olarak oturum açın. Denetim Masası kullanarak, bilgisayarı güncelleştirmeleri denetleecek şekilde yapılandırın ve gerekli güncelleştirmeleri yükleyin. Güncelleştirmelerin yüklenmesi için sunucunun yeniden başlatılması gerekebilir.
Rol ekleme
Active Directory Etki Alanı Hizmetleri (AD DS) ve DNS Sunucusu rollerini ekleyin.
PowerShell'i yönetici olarak başlatın.
Windows Server Active Directory yüklemesine hazırlanmak için aşağıdaki komutları yazın.
import-module ServerManager Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
SID Geçmişi geçişi için kayıt defteri ayarlarını yapılandırma
PowerShell'i başlatın ve kaynak etki alanını güvenlik hesapları yöneticisi (SAM) veritabanına uzaktan yordam çağrısı (RPC) erişimine izin vermek üzere yapılandırmak için aşağıdaki komutu yazın.
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
Yeni bir Privileged Access Management ormanı oluşturma
Ardından sunucuyu yeni bir ormanın etki alanı denetleyicisine yükseltin.
Bu kılavuzda, priv.contoso.local adı yeni ormanın etki alanı adı olarak kullanılır. Ormanın adı kritik değildir ve kuruluştaki mevcut bir orman adına bağlı olması gerekmez. Ancak, yeni ormanın hem etki alanı hem de NetBIOS adları kuruluştaki diğer etki alanlarının benzersiz ve benzersiz olmalıdır.
Etki alanı ve orman oluşturma
PowerShell penceresinde, yeni etki alanını oluşturmak için aşağıdaki komutları yazın. Bu komutlar, önceki bir adımda oluşturulan üst etki alanında (contoso.local) bir DNS temsilcisi de oluşturur. DNS'yi daha sonra yapılandırmak istiyorsanız, parametreleri atlayın
CreateDNSDelegation -DNSDelegationCredential $ca
.$ca= get-credential Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca
DNS temsilcisini yapılandırmak için açılan pencere göründüğünde, CORP orman yöneticisinin kimlik bilgilerini sağlayın. Bu kılavuzda CONTOSO\Administrator kullanıcı adı ve 1. adımdaki ilgili parola yer alır.
PowerShell penceresi, kullanmak için güvenli mod yönetici parolası girmenizi ister. Yeni parolayı iki kez girin. DNS temsili ve şifreleme ayarları için uyarı iletileri görüntülenir; bunlar normaldir.
Orman oluşturma işlemi tamamlandıktan sonra sunucu otomatik olarak yeniden başlatılır.
Kullanıcı ve hizmet hesapları oluşturma
MIM Hizmeti ve Portal kurulumu için kullanıcı ve hizmet hesaplarını oluşturun. Bu hesaplar priv.contoso.local etki alanının Users kapsayıcısında gider.
Sunucu yeniden başlatıldıktan sonra PRIVDC'de etki alanı yöneticisi (PRIV\Administrator) olarak oturum açın.
PowerShell'i başlatın ve aşağıdaki komutları yazın. 'Pass@word1' parolası yalnızca bir örnektir ve hesaplar için farklı bir parola kullanmanız gerekir.
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent Set-ADAccountPassword –identity MIMComponent –NewPassword $sp Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 New-ADUser -SamAccountName MIMAdmin -name MIMAdmin Set-ADAccountPassword –identity MIMAdmin -NewPassword $sp Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1 Add-ADGroupMember "Domain Admins" SharePoint Add-ADGroupMember "Domain Admins" MIMService
Denetim ve oturum açma haklarını yapılandırma
PAM yapılandırmasının ormanlar arasında kurulabilmesi için denetimi ayarlamanız gerekir.
Etki alanı yöneticisi (PRIV\Administrator) olarak oturum açtığınızdan emin olun.
Windows Yönetim Araçları>Grup İlkesi Yönetimini Başlat'a >gidin.
Orman: priv.contoso.local>Domains>priv.contoso.local>Etki Alanı Denetleyicileri>Varsayılan Etki Alanı Denetleyicileri İlkesi'ne gidin. Bir uyarı iletisi görüntülenir.
Varsayılan Etki Alanı Denetleyicileri İlkesi'ne sağ tıklayın ve Düzenle'yi seçin.
Grup İlkesi Yönetimi Düzenleyicisi konsol ağacında, Bilgisayar Yapılandırma>İlkeleri> Windows Ayarları Güvenlik Ayarları>>Yerel İlkeler>Denetim İlkesi'ne gidin.
Ayrıntılar bölmesinde Hesap yönetimini denetle'ye sağ tıklayın ve Özellikler'i seçin. Bu ilke ayarlarını tanımla'ya tıklayın, Başarılı onay kutusunu işaretleyin, Hata onay kutusunu işaretleyin, Uygula'ya ve ardından Tamam'a tıklayın.
Ayrıntılar bölmesinde Dizin hizmeti erişimini denetle'ye sağ tıklayın ve Özellikler'i seçin. Bu ilke ayarlarını tanımla'ya tıklayın, Başarılı onay kutusunu işaretleyin, Hata onay kutusunu işaretleyin, Uygula'ya ve ardından Tamam'a tıklayın.
Bilgisayar Yapılandırma>İlkeleri> Windows Ayarları Güvenlik Ayarları>>Hesap İlkeleri>Kerberos İlkesi'ne gidin.
Ayrıntılar bölmesinde, Kullanıcı bileti için en uzun yaşam süresi'ne sağ tıklayın ve Özellikler'i seçin. Bu ilke ayarlarını tanımla'ya tıklayın, saat sayısını 1 olarak ayarlayın, Uygula'ya ve ardından Tamam'a tıklayın. Penceredeki diğer ayarların da değişeceğini unutmayın.
Grup İlkesi Yönetimi penceresinde Varsayılan Etki Alanı İlkesi'ni seçin, sağ tıklayın ve Düzenle'yi seçin.
Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları>Yerel İlkeler'i genişletin ve Kullanıcı Hakları Ataması'nı seçin.
Ayrıntılar bölmesinde Toplu iş olarak oturum açmayı reddet'e sağ tıklayın ve Özellikler'i seçin.
Bu İlke Ayarlarını Tanımla onay kutusunu işaretleyin, Kullanıcı veya Grup Ekle'ye tıklayın ve Kullanıcı ve grup adları alanına priv\mimmonitor; priv\MIMService; priv\mimcomponent yazın ve Tamam'a tıklayın.
Pencereyi kapatmak için Tamam'a tıklayın.
Ayrıntılar bölmesinde Uzak Masaüstü Hizmetleri aracılığıyla oturum açmayı reddet'e sağ tıklayın ve Özellikler'i seçin.
Bu İlke Ayarlarını Tanımla onay kutusuna tıklayın, Kullanıcı veya Grup Ekle'ye tıklayın ve Kullanıcı ve grup adları alanına priv\mimmonitor; priv\MIMService; priv\mimcomponent yazın ve Tamam'a tıklayın.
Pencereyi kapatmak için Tamam'a tıklayın.
Grup İlkesi Yönetimi Düzenleyicisi penceresini ve Grup İlkesi Yönetimi penceresini kapatın.
Yönetici olarak bir PowerShell penceresi başlatın ve grup ilkesi ayarlarından DC'yi güncelleştirmek için aşağıdaki komutu yazın.
gpupdate /force /target:computer
Bir dakika sonra , "Bilgisayar İlkesi güncelleştirmesi başarıyla tamamlandı" iletisiyle tamamlanır.
PRIVDC'de DNS adı iletmeyi yapılandırma
PRIVDC'de PowerShell kullanarak, PRIV etki alanının diğer mevcut ormanları tanıması için DNS adı iletmeyi yapılandırın.
PowerShell’i başlatın.
Var olan her ormanın en üstündeki her etki alanı için aşağıdaki komutu yazın. Bu komutta, var olan DNS etki alanını (contoso.local gibi) ve söz konusu etki alanının birincil DNS sunucularının IP adreslerini belirtin.
Önceki adımda IP adresi olarak 10.1.1.31 olan bir contoso.local etki alanı oluşturduysanız CORPDC bilgisayarının sanal ağ IP adresi için 10.1.1.31 belirtin.
Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
Not
Diğer ormanların da PRIV ormanı için DNS sorgularını bu etki alanı denetleyicisine yönlendirebilmesi gerekir. Birden çok Active Directory ormanınız varsa, bu ormanların her birine bir DNS koşullu ileticisi de eklemeniz gerekir.
Kerberos'ı yapılandırma
SharePoint, PAM REST API ve MIM Hizmeti'nin Kerberos kimlik doğrulamasını kullanabilmesi için PowerShell kullanarak SPN'ler ekleyin.
setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint setspn -S http/pamsrv PRIV\SharePoint setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService setspn -S FIMService/pamsrv PRIV\MIMService
Not
Bu belgenin sonraki adımlarında, MIM 2016 sunucu bileşenlerinin tek bir bilgisayara nasıl yükleneceği açıklanmaktadır. Yüksek kullanılabilirlik için başka bir sunucu eklemeyi planlıyorsanız, FIM 2010: Kerberos Kimlik Doğrulaması Kurulumu'nda açıklandığı gibi ek Kerberos yapılandırmasına ihtiyacınız olacaktır.
MIM hizmet hesaplarına erişim vermek için temsilci seçmeyi yapılandırma
PriVDC'de etki alanı yöneticisi olarak aşağıdaki adımları gerçekleştirin.
Active Directory Kullanıcıları ve Bilgisayarları'ı başlatın.
priv.contoso.local etki alanına sağ tıklayın ve Denetim Temsilcisi Seç'i seçin.
Seçili Kullanıcılar ve Gruplar sekmesinde Ekle'ye tıklayın.
Kullanıcı, Bilgisayar veya Grup Seç penceresinde, Adları Denetle yazın
mimcomponent; mimmonitor; mimservice
ve tıklayın. Adların altı çizildikten sonra Tamam'a ve ardından İleri'ye tıklayın.Sık kullanılan görevler listesinde Kullanıcı hesapları oluştur, sil ve yönet'i seçin ve Grubun üyeliğini değiştirin, ardından İleri ve Son'a tıklayın.
Yine priv.contoso.local etki alanına sağ tıklayın ve Denetim Temsilcisi Seç'i seçin.
Seçili Kullanıcılar ve Gruplar sekmesinde Ekle'ye tıklayın.
Kullanıcıları, Bilgisayarları veya Grupları Seç penceresinde MIMAdmin girin ve Adları Denetle'ye tıklayın. Adların altı çizildikten sonra Tamam'a ve ardından İleri'ye tıklayın.
Özel görevi seçin, Genel izinlerle Bu klasöre uygulayın.
İzinler listesinde aşağıdaki izinleri seçin:
- Okuma
- Yazma
- Tüm Alt Nesneleri Oluşturma
- Tüm Alt Nesneleri Sil
- Tüm Özellikleri Oku
- Tüm Özellikleri Yaz
- SID Geçmişini Geçirme
İleri'ye ve ardından Son'a tıklayın.
Bir kez daha priv.contoso.local etki alanına sağ tıklayın ve Denetim Temsilcisi Seç'i seçin.
Seçili Kullanıcılar ve Gruplar sekmesinde Ekle'ye tıklayın.
Kullanıcıları, Bilgisayarları veya Grupları Seç penceresinde MIMAdmin girin ve Adları Denetle'ye tıklayın. Adların altı çizildikten sonra Tamam'a ve ardından İleri'ye tıklayın.
Özel görev'i seçin, Bu klasöre uygulayın ve ardından yalnızca Kullanıcı nesneleri'ne tıklayın.
İzinler listesinde Parolayı değiştir ve Parolayı sıfırla'yı seçin. Ardından İleri'ye ve ardından Son'a tıklayın.
Active Directory Kullanıcıları ve Bilgisayarları’nı kapatın.
Komut istemi açın.
PRIV etki alanlarındaki Yönetici SD Tutucusu nesnesindeki erişim denetimi listesini gözden geçirin. Örneğin, etki alanınız "priv.contoso.local" ise komutunu yazın:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"
MIM Hizmeti ve MIM PAM bileşen hizmetinin bu ACL tarafından korunan grupların üyeliklerini güncelleştirediğinden emin olmak için erişim denetimi listesini gerektiği gibi güncelleştirin. Komutunu yazın:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member" dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
Windows Server 2016'da PAM'yi yapılandırma
Ardından, MIM yöneticilerine ve MIM Hizmeti hesabına gölge sorumluları oluşturma ve güncelleştirme yetkisi verin.
Windows Server 2016 Active Directory'de Privileged Access Management özelliklerini etkinleştirme PRIV ormanında bulunur ve etkinleştirilir. Yönetici olarak bir PowerShell penceresi başlatın ve aşağıdaki komutları yazın.
$of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'" Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"
Bir PowerShell penceresi başlatın ve ADSIEdit yazın.
Eylemler menüsünü açın, "Bağlan" seçeneğine tıklayın. Bağlantı noktası ayarında, adlandırma bağlamını "Varsayılan adlandırma bağlamı" yerine "Yapılandırma" olarak değiştirin ve Tamam'a tıklayın.
Bağlandıktan sonra, "ADSI Düzenleme" altındaki pencerenin sol tarafında Yapılandırma düğümünü genişleterek "CN=Configuration,DC=priv,...." ifadesini görüntüleyin. CN=Yapılandırma'yı ve ardından CN=Hizmetler'i genişletin.
"CN=Gölge Sorumlusu Yapılandırması" öğesine sağ tıklayın ve Özellikler'e tıklayın. Özellikler iletişim kutusu görüntülendiğinde güvenlik sekmesine geçin.
Ekle'yi tıklatın. "MIMService" hesaplarını ve daha sonra ek PAM grupları oluşturmak için New-PAMGroup gerçekleştirecek diğer MIM yöneticilerini belirtin. Her kullanıcı için, izin verilen izinler listesinde "Yazma", "Tüm alt nesneleri oluştur" ve "Tüm alt nesneleri sil" değerlerini ekleyin. İzinleri ekleyin.
Gelişmiş Güvenlik ayarlarına geçin. MIMService erişimine izin veren satırda Düzenle'ye tıklayın. "Şunun için geçerlidir" ayarını "bu nesneye ve tüm alt nesnelere" olarak değiştirin. Bu izin ayarını güncelleştirin ve güvenlik iletişim kutusunu kapatın.
ADSI Düzenleme'yi kapatın.
Ardından, MIM yöneticilerine kimlik doğrulama ilkesi oluşturma ve güncelleştirme yetkisi ver. Yükseltilmiş bir Komut istemi başlatın ve aşağıdaki komutları yazın ve dört satırın her birinde MIM yönetici hesabınızın adını "mimadmin" olarak değiştirin:
dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
Bu değişikliklerin etkili olması için PRIVDC sunucusunu yeniden başlatın.
PRIV iş istasyonu hazırlama
bir iş istasyonu hazırlamak için bu yönergeleri izleyin. Bu iş istasyonu, PRIV kaynaklarının (MIM gibi) bakımını gerçekleştirmek için PRIV etki alanına katılır.
Windows 10 Enterprise'ı yükleme
Yüklü yazılım olmayan başka bir yeni sanal makinede, bir bilgisayarı "PRIVWKSTN" yapmak için Windows 10 Enterprise'ı yükleyin.
Yükleme sırasında Express ayarlarını kullanın.
Yüklemenin İnternet'e bağlanamadığını unutmayın. Yerel hesap oluştur'a tıklayın. Farklı bir kullanıcı adı belirtin; "Yönetici" veya "Jen" kullanmayın.
Denetim Masası kullanarak bu bilgisayara sanal ağda statik bir IP adresi verin ve arabirimin tercih edilen DNS sunucusunu PRIVDC sunucusununki olacak şekilde ayarlayın.
etki alanı, Denetim Masası kullanarak PRIVWKSTN bilgisayarını priv.contoso.local etki alanına ekleyin. Bu adım PRIV etki alanı yöneticisi kimlik bilgilerinin sağlanmasını gerektirir. Bu işlem tamamlandığında PRIVWKSTN bilgisayarını yeniden başlatın.
64 bit Windows için Visual C++ 2013 Yeniden Dağıtılabilir Paketlerini yükleyin.
Daha fazla ayrıntı istiyorsanız bkz . Ayrıcalıklı erişim iş istasyonlarının güvenliğini sağlama.
Sonraki adımda bir PAM sunucusu hazırlayacaksınız.