Aracılığıyla paylaş

2. Adım - İlk PRIV etki alanı denetleyicisini hazırlama

  • Makale

« 1. Adım3. Adım »

Bu adımda, yönetici kimlik doğrulaması için savunma ortamını sağlayacak yeni bir etki alanı oluşturacaksınız. Bu orman için en az bir etki alanı denetleyicisi, bir üye iş istasyonu ve en az bir üye sunucu gerekir. Üye sunucu bir sonraki adımda yapılandırılacaktır.

Yeni bir Privileged Access Management etki alanı denetleyicisi oluşturma

Bu bölümde, yeni bir orman için etki alanı denetleyicisi görevi görmesi için bir sanal makine ayarlayacaksınız.

Windows Server 2016 veya üzerini yükleme

Yüklü yazılım olmayan başka bir yeni sanal makinede, bir bilgisayarı "PRIVDC" yapmak için Windows Server 2016 veya sonraki bir sürümü yükleyin.

  1. Windows Server’ı özel (yükseltme olmayan) yükleme seçeneğiyle yükleyin. Yüklerken Windows Server 2016 (Masaüstü Deneyimi ile Sunucu) belirtin; Veri Merkezi'ne veya Sunucu Çekirdeği'netıklayın.

  2. Lisans koşullarını gözden geçirin ve kabul edin.

  3. Disk boş olacağından Özel: Yalnızca Windows'u yükle'yi seçin ve başlatılmamış disk alanını kullanın.

  4. İşletim sistemi sürümünü yükledikten sonra, bu yeni bilgisayarda yeni yönetici olarak oturum açın. Bilgisayar adını PRIVDC olarak ayarlamak için Denetim Masası kullanın. Ağ ayarlarında, sanal ağda statik bir IP adresi verin ve DNS sunucusunu önceki adımda yüklü olan etki alanı denetleyicisininki olacak şekilde yapılandırın. Sunucuyu yeniden başlatmanız gerekir.

  5. Sunucu yeniden başlatıldıktan sonra, yönetici olarak oturum açın. Denetim Masası’nı kullanarak, güncelleştirmeleri denetlemek ve gerekli tüm güncelleştirmeleri yüklemek üzere bilgisayarı yapılandırın. Güncelleştirmelerin yüklenmesi için sunucunun yeniden başlatılması gerekebilir.

Rolleri ekleme

Active Directory Etki Alanı Hizmetleri (AD DS) ve DNS Sunucusu rollerini ekleyin.

  1. Yönetici olarak PowerShell’i başlatın.

  2. Windows Server Active Directory yüklemesine hazırlanmak için aşağıdaki komutları yazın.

    import-module ServerManager

Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools

SID Geçmişi geçişi için kayıt defteri ayarlarını yapılandırma

PowerShell’i başlatın ve güvenlik hesapları yöneticisi (SAM) veritabanına uzak yordam çağrısı (RPC) erişimine izin vermek üzere kaynak etki alanını yapılandırmak için aşağıdaki komutu yazın.

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Yeni bir Privileged Access Management ormanı oluşturma

Ardından, sunucuyu yeni ormanın etki alanı denetleyicisine yükseltin.

Bu kılavuzda, yeni ormanın etki alanı adı olarak priv.contoso.local adı kullanılır. Ormanın adı kritik değildir ve kuruluştaki mevcut bir orman adının alt adı olması gerekmez. Bununla birlikte, yeni ormanın hem etki alanı hem de NetBIOS adları benzersiz ve kuruluştaki diğer etki alanları adlarının tümünden ayrı olmalıdır.

Etki alanı ve orman oluşturma

  1. PowerShell penceresinde, aşağıdaki komutları yazarak yeni etki alanını oluşturun. Bu komutlar, önceki bir adımda oluşturulmuş olan üstün bir etki alanında (contoso.local) bir DNS temsilcisi de oluşturur. DNS’yi daha sonra yapılandırmayı düşünüyorsanız, CreateDNSDelegation -DNSDelegationCredential $ca parametrelerini atlayın.

    $ca= get-credential
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca

  2. AÇıLAN pencere DNS temsilcisini yapılandırıyor gibi göründüğünde, CORP orman yöneticisinin kimlik bilgilerini sağlayın. Bu kılavuzda CONTOSO\Administrator kullanıcı adı ve 1. adımdaki ilgili parola yer alır.

  3. PowerShell penceresinde, kullanılacak Güvenli Mod Yönetici Parolası’nı sağlamanız istenir. Yeni parolayı iki kez girin. DNS temsilcisi ve şifreleme ayarlarıyla ilgili uyarı iletileri görüntülenir; bunlar normaldir.

Orman oluşturma işlemi tamamlandıktan sonra, sunucu otomatik olarak yeniden başlatılır.

Kullanıcı ve hizmet hesaplarını oluşturma

MIM Hizmeti ve Portal kurulumu için kullanıcı ve hizmet hesaplarını oluşturun. Bu hesaplar, priv.contoso.local etki alanının Kullanıcılar kapsayıcısına gider.

  1. Sunucu yeniden başlatıldıktan sonra PRIVDC'de etki alanı yöneticisi (PRIV\Administrator) olarak oturum açın.

  2. PowerShell’i başlatın ve aşağıdaki komutları yazın. 'Par@ola1' parolası yalnızca örnek olarak verilmiştir ve hesaplar için başka bir parola kullanmalısınız.

    import-module activedirectory

$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMMA –name MIMMA

Set-ADAccountPassword –identity MIMMA –NewPassword $sp

Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor

Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp

Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent

Set-ADAccountPassword –identity MIMComponent –NewPassword $sp

Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMSync –name MIMSync

Set-ADAccountPassword –identity MIMSync –NewPassword $sp

Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMService –name MIMService

Set-ADAccountPassword –identity MIMService –NewPassword $sp

Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SharePoint –name SharePoint

Set-ADAccountPassword –identity SharePoint –NewPassword $sp

Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SqlServer –name SqlServer

Set-ADAccountPassword –identity SqlServer –NewPassword $sp

Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName BackupAdmin –name BackupAdmin

Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp

Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1

New-ADUser -SamAccountName MIMAdmin -name MIMAdmin

Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp

Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1

Add-ADGroupMember "Domain Admins" SharePoint

Add-ADGroupMember "Domain Admins" MIMService

Denetim ve oturum açma haklarını yapılandırma

Ormanlar arasında PAM yapılandırmasının oluşturulması için denetimi ayarlamanız gerekir.

  1. Etki alanı yöneticisi (PRIV\Administrator) olarak oturum açtığınızdan emin olun.

  2. Windows Yönetim Araçları>grup ilkesi YönetiminiBaşlat'a> gidin.

  3. Orman: priv.contoso.local>Etki Alanları>priv.contoso.local>Etki Alanı Denetleyicileri>Varsayılan Etki Alanı Denetleyicileri İlkesi'ne gidin. Bir uyarı iletisi görüntülenir.

  4. Varsayılan Etki Alanı Denetleyicileri İlkesi'ne sağ tıklayın ve Düzenle'yi seçin.

  5. grup ilkesi Yönetim Düzenleyicisi konsol ağacında Bilgisayar Yapılandırma>İlkeleri>Windows AyarlarıGüvenlik Ayarları>>Yerel İlkeler>Denetim İlkesi'ne gidin.

  6. Ayrıntılar bölmesinde Hesap yönetimini denetle’ye sağ tıklayın ve Özellikler’i seçin. Bu ilke ayarlarını tanımla’ya tıklayın, Başarı onay kutusunu ve Hata onay kutusunu işaretleyin, Uygula’ya tıklayın ve Tamam’a tıklayın.

  7. Ayrıntılar bölmesinde Dizin hizmeti erişimini denetle’ye sağ tıklayın ve Özellikler’i seçin. Bu ilke ayarlarını tanımla’ya tıklayın, Başarı onay kutusunu ve Hata onay kutusunu işaretleyin, Uygula’ya tıklayın ve Tamam’a tıklayın.

  8. Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları>Hesap İlkeleri>Kerberos İlkesi'ne gidin.

  9. Ayrıntılar bölmesinde Kullanıcı anahtarının en fazla etkin kalma süresi’ne sağ tıklayın ve Özellikler’e tıklayın. Bu ilke ayarlarını tanımla’ya tıklayın saat sayısını 1 olarak ayarlayın, Uygula’ya ve sonra da Tamam’a tıklayın. Penceredeki diğer ayarlarında da değişeceğini unutmayın.

  10. Grup İlkesi Yönetimi penceresinde Varsayılan Etki Alanı İlkesi’ni seçin, sağ tıklayın ve Düzenle’yi seçin.

  11. Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları>Yerel İlkeler'i genişletin ve Kullanıcı Hakları Ataması'nı seçin.

  12. Ayrıntılar bölmesinde Toplu iş olarak oturum açmayı reddet’e sağ tıklayın ve Özellikler’i seçin.

  13. Bu İlke Ayarlarını Tanımla onay kutusunu işaretleyin, Kullanıcı veya Grup Ekle'ye tıklayın ve Kullanıcı ve grup adları alanına priv\mimmonitor; priv\MIMService; priv\mimcomponent yazın ve Tamam'a tıklayın.

  14. Pencereyi kapatmak için Tamam’a tıklayın.

  15. Ayrıntılar bölmesinde Uzak Masaüstü Hizmetleri üzerinden oturum açmayı reddet’e sağ tıklayın ve Özellikler’i seçin.

  16. Bu İlke Ayarlarını Tanımla onay kutusuna tıklayın, Kullanıcı veya Grup Ekle'ye tıklayın ve Kullanıcı ve grup adları alanına priv\mimmonitor; priv\MIMService; priv\mimcomponent yazın ve Tamam'a tıklayın.

  17. Pencereyi kapatmak için Tamam’a tıklayın.

  18. Grup İlkesi Yönetimi Düzenleyicisi penceresini ve Grup İlkesi Yönetimi penceresini kapatın.

  19. Yönetici olarak bir PowerShell penceresi açın ve DC’yi grup ilkesi ayarlarından güncelleştirmek için aşağıdaki komutu yazın.

    gpupdate /force /target:computer

    Bir dakika sonra , "Bilgisayar İlkesi güncelleştirmesi başarıyla tamamlandı" iletisiyle tamamlanır.

PRIVDC’de DNS ad iletmeyi yapılandırma

PRIVDC’de PowerShell kullanarak, PRIV etki alanının diğer mevcut ormanları tanıyabilmesi için DNS adı iletmeyi yapılandırın.

  1. PowerShell’i başlatın.

  2. Var olan her ormanın en üstündeki her etki alanı için aşağıdaki komutu yazın. Bu komutta, var olan DNS etki alanını (contoso.local gibi) ve söz konusu etki alanının birincil DNS sunucularının IP adreslerini belirtin.

    Önceki adımda IP adresi olarak 10.1.1.31 olan bir contoso.local etki alanı oluşturduysanız, CORPDC bilgisayarının sanal ağ IP adresi için 10.1.1.31 belirtin.

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31

Not

Diğer ormanlar da, PRIV ormanı için DNS sorgularını bu etki alanı denetleyicisine yönlendirebilmelidir. Birden çok mevcut Active Directory ormanınız varsa, bu ormanlardan her birini DNS koşullu ileticisi de eklemelisiniz.

Kerberos’u yapılandırma

  1. SharePoint, PAM REST API ve MIM Hizmeti’nin Kerberos kimlik doğrulamasını kullanabilmesi için PowerShell kullanarak SPN’leri ekleyin.

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
setspn -S http/pamsrv PRIV\SharePoint
setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
setspn -S FIMService/pamsrv PRIV\MIMService

Not

Bu belgenin sonraki adımlarında, tek bir bilgisayara MIM 2016 sunucu bileşenlerinin nasıl yükleneceği açıklanır. Yüksek kullanılabilirlik için bir sunucu daha eklemeyi planlıyorsanız, FIM 2010: Kerberos Kimlik Doğrulama Kurulumu altında açıklandığı gibi ek Kerberos yapılandırmasına ihtiyacınız olacaktır.

MIM hizmet hesaplarına erişim vermek için temsilciyi yapılandırma

Etki alanı yöneticisi olarak PRIVDC’de aşağıdaki adımları uygulayın.

  1. Active Directory Kullanıcıları ve Bilgisayarları’nı başlatın.

  2. Priv.contoso.local etki alanına sağ tıklayın ve Denetim Temsilcisi Seç’e tıklayın.

  3. Seçili Kullanıcılar ve Gruplar sekmesinde Ekle'ye tıklayın.

  4. Kullanıcıları, Bilgisayarları veya Grupları Seç penceresinde, Adları Denetle yazın mimcomponent; mimmonitor; mimservice ve tıklayın. Adların altı çizildikten sonra Tamam'a ve ardından İleri'ye tıklayın.

  5. Ortak görevler listesinde Kullanıcı hesapları oluştur, sil ve yönet’i ve Bir grubun üyeliğini değiştir’i seçin, ardından İleri’ye ve Son’a tıklayın.

  6. Yeniden Priv.contoso.local etki alanına sağ tıklayın ve Denetim Temsilcisi Seç’e tıklayın.

  7. Seçili Kullanıcılar ve Gruplar sekmesinde Ekle'ye tıklayın.

  8. Kullanıcıları, Bilgisayarları veya Grupları Seç penceresinde, MIMAdmin girin ve Adları Denetle’ye tıklayın. Adların altı çizildikten sonra Tamam'a ve ardından İleri'ye tıklayın.

  9. Özel görev seçin, Genel izinler ile Bu klasör’e uygulayın.

  10. İzinler listesinde aşağıdaki izinleri seçin:

    • Read
    • Write
    • Tüm Bağımlı Nesneleri Oluştur
    • Tüm Bağımlı Nesneleri Sil
    • Tüm Özellikleri Oku
    • Tüm Özellikleri Yaz
    • SID Geçmişi Geçir

  11. İleri'ye ve ardından Son'a tıklayın.

  12. Bir kez daha, Priv.contoso.local etki alanına sağ tıklayın ve Denetim Temsilcisi Seç’e tıklayın.

  13. Seçili Kullanıcılar ve Gruplar sekmesinde Ekle'ye tıklayın.

  14. Kullanıcıları, Bilgisayarları veya Grupları Seç penceresinde MIMAdmin girin, ardından Adları Denetle’ye tıklayın. Adların altı çizildikten sonra, Tamam’a ve sonra da İleri’ye tıklayın.

  15. Özel görev seçin, Bu klasör’e uygulayın ve yalnızca Kullanıcı nesneleri’nie tıklayın.

  16. İzin listesinde, Parolayı değiştir’i ve Parolayı sıfırla’yı seçin. Sonra İleri’ye ve ardından Son’a tıklayın.

  17. Active Directory Kullanıcıları ve Bilgisayarları'nı kapatın.

  18. Bir komut istemi açın.

  19. PRIV etki alanlarındaki Yönetici SD Tutucu nesnesindeki erişim denetim listesini gözden geçirin. Örneğin, etki alanınız "priv.contoso.local" ise komutunu yazın:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"

  20. MIM Hizmeti ve MIM PAM bileşen hizmetinin bu ACL tarafından korunan grupların üyeliklerini güncelleştirediğinden emin olmak için erişim denetimi listesini gerektiği gibi güncelleştirin. Şu komutu yazın:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"

Windows Server 2016'de PAM'yi yapılandırma

Ardından, MIM yöneticilerine ve MIM Hizmeti hesabına gölge sorumluları oluşturma ve güncelleştirme yetkisi verin.

  1. PRIV ormanında Active Directory Windows Server 2016 Privileged Access Management özelliklerini etkinleştirin ve etkinleştirin. Yönetici olarak bir PowerShell penceresi başlatın ve aşağıdaki komutları yazın.

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"

  2. Bir PowerShell penceresi başlatın ve ADSIEdit yazın.

  3. Eylemler menüsünü açın ve “Bağlan:” seçeneğine tıklayın. Bağlantı noktası ayarında “Varsayılan adlandırma bağlamı” olan adlandırma bağlamını “Yapılandırma” olarak değiştirin ve Tamam’a tıklayın.

  4. Bağlandıktan sonra, pencerenin sol tarafındaki “ADSI Düzenleme” altında bulunan Yapılandırma düğümünü, “CN=Yapılandırma,DC=priv,....” ifadesini görebileceğiniz şekilde genişletin. CN=Yapılandırma’yı ve sonra CN=Hizmetler’i genişletin.

  5. “CN=Gölge Sorumlu Yapılandırması” seçeneğine sağ tıklayın ve Özellikler’e tıklayın. Özellikler iletişim kutusu göründüğünde, güvenlik sekmesine geçin.

  6. Ekle’ye tıklayın. “MIMService” hesaplarını ve sonradan ek PAM grupları oluşturmak için New-PAMGroup işlemini gerçekleştirecek olan diğer tüm MIM yöneticilerini belirtin. Verilen izinler listesindeki her kullanıcı için “Yazma”, “Tüm alt nesneleri oluşturma” ve “Tüm alt nesneleri silme” izinlerini ekleyin. İzinleri ekleyin.

  7. Gelişmiş Güvenlik ayarlarına geçin. MIMService erişimine izin veren satırda Düzenle'ye tıklayın. “Uygulandığı öğe:” ayarını, “Bu nesne ve tüm alt nesneler” olarak değiştirin. Bu izin ayarını güncelleştirin ve güvenlik iletişim kutusunu kapatın.

  8. ADSI Düzenleme penceresini kapatın.

  9. Ardından, MIM yöneticilerine kimlik doğrulama ilkesi oluşturma ve güncelleştirme yetkisi verme. Yükseltilmiş bir Komut istemi başlatın ve dört satırın her birinde “mimadmin” yerine MIM yönetici hesabınızın adını girerek aşağıdaki komutları yazın:

    dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s

dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo

  10. Bu değişikliklerin geçerlilik kazanması için PRIVDC sunucusunu yeniden başlatın.

PRIV iş istasyonunu hazırlama

bir iş istasyonu hazırlamak için bu yönergeleri izleyin. Bu iş istasyonu, PRIV kaynaklarının (MIM gibi) bakımını gerçekleştirmek için PRIV etki alanına katılır.

yükleme Windows 10 Enterprise

Yüklü yazılım olmayan başka bir yeni sanal makinede, bir bilgisayarı "PRIVWKSTN" yapmak için Windows 10 Enterprise yükleyin.

  1. Yükleme sırasında Hızlı ayarları kullanın.

  2. Yüklemenin İnternet’e bağlanamayabileceğine dikkat edin. Yerel hesap oluştur’a tıklayın. Farklı bir kullanıcı adı belirtin; “Yönetici” veya “Jen” kullanmayın.

  3. Denetim Masası’nı kullanarak bilgisayarınıza sanal ağda statik bir IP adresi verin ve arabirimin tercih edilen DNS sunucusunu PRIVDC sunucusununkine ayarlayın.

  4. Denetim Masası’nı kullanarak PRIVWKSTN bilgisayarının priv.contoso.local etki alanına katılmasını sağlayın. Bu adım PRIV etki alanı yöneticisi kimlik bilgilerinin sağlanmasını gerektirir. Bu işlem tamamlandığında PRIVWKSTN bilgisayarını yeniden başlatın.

  5. 64 bit Windows için Visual C++ 2013 Yeniden Dağıtılabilir Paketlerini yükleyin.

Diğer ayrıntıları öğrenmek istiyorsanız, ayrıcalıklı erişimli iş istasyonlarının güvenliğini sağlama konusuna bakın.

Sonraki adımda bir PAM sunucusu hazırlayacaksınız.

« 1. Adım3. Adım »