在此步骤中,你将准备托管将由 PAM 管理的环境。 如有必要,你还将在新域和林(CORP 林)中创建域控制器和成员工作站。 将通过由 Bastion 环境管理的标识来访问该林,此环境中包含将在下一步中创建的 PRIV 林。 此CORP森林模拟了一个现有森林,该森林拥有需要管理的资源。 本文档包含要保护的示例资源(文件共享)。
如果你已经拥有了一个域控制器运行 Windows Server 2012 R2 或更高版本的 Active Directory (AD) 域,并且你是域管理员,则可以改用该域,并跳至本文中的“创建组”部分。
准备 CORP 域控制器
本部分介绍如何为 CORP 域设置域控制器。 在 CORP 域中,管理用户由堡垒环境管理。 此示例中使用的 CORP 域的域名系统 (DNS) 名称是 contoso.local。
安装 Windows Server
在虚拟机上安装 Windows Server 2016 或更高版本,以创建名为 CORPDC 的计算机。
选择 Windows Server 2016(具有桌面体验的服务器)。
阅读并接受许可条款。
由于磁盘将为空,请选择自定义:仅安装 Windows,并使用未初始化的磁盘空间。
以管理员身份登录到该新计算机。 导航到控制面板。 将计算机名称设置为 CORPDC,并在虚拟网络上为其指定静态 IP 地址。 重启服务器。
服务器重启后,以管理员身份登录。 导航到控制面板。 将计算机配置为检查更新,并安装所需的任何更新。 重启服务器。
添加角色以建立域控制器
在本部分中,你将设置新的 Windows Server 以成为域控制器。 你将添加 Active Directory 域服务 (AD DS)、DNS 服务器和文件服务器(文件和存储服务部分的一部分)角色,并将此服务器提升为新林 contoso.local 的域控制器。
注释
如果已有要用作 CORP 域的域,并且该域使用 Windows Server 2012 R2 或更高版本作为其域功能级别,则可以跳到 创建其他用户和组进行演示。
以管理员身份登录时,启动 PowerShell。
键入以下命令。
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork这将提示使用安全模式管理员密码。 请注意,将显示 DNS 委派和加密设置的警告消息。 这些是正常的。
森林创建完成后,注销。服务器将自动重启。
服务器重启后,以域管理员身份登录到 CORPDC。 这通常是用户 CONTOSO\Administrator,其中包含在 CORPDC 上安装 Windows 时创建的密码。
安装更新(仅限 Windows Server 2012 R2)
- 如果选择将 Windows Server 2012 R2 用作 CORPDC 的作系统,则必须在 CORPDC 上安装修补程序2919442、2919355 和更新3155495 。
创建一个组
如果组尚不存在,请在 Active Directory 中创建一个用于审核目的的组。 组的名称必须是 NetBIOS 域名,后跟三个美元符号,例如 CONTOSO$$$。
对于每个域,请以域管理员身份登录到域控制器,并执行以下步骤:
启动 PowerShell。
键入以下命令,但请将“CONTOSO”替换为网域的 NetBIOS 名称。
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
在某些情况下,组可能已存在 -如果域也用于 AD 迁移方案,则这是正常的。
为演示目的创建其他用户和组
如果创建了一个新的 CORP 域,则应创建其他用户和组来演示 PAM 方案。 出于演示目的,用户和组不应是域管理员或由 AD 中的 adminSDHolder 设置控制。
注释
如果你已有一个将用作 CORP 域的域,并且该域有一个用户和一个可用于演示目的的组,那么你可以跳到 “配置审核”部分。
我们将创建名为 CorpAdmins 的 安全组和名为 Jen 的用户。 如果需要,可以使用不同的名称。 如果已有现有用户(例如具有智能卡),则无需创建新用户。
启动 PowerShell。
键入以下命令。 将密码“Pass@word1”替换为其他密码字符串。
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
配置审核
你需要在现有林中启用审核,以便在这些林中建立 PAM 配置。
对于每个域,请以域管理员身份登录到域控制器,并执行以下步骤:
转到 “启动>Windows 管理工具”,并启动 组策略管理。
导航到此域的域控制器策略。 如果为 contoso.local 创建了一个新域,请导航到 “林”:contoso.local>Domains>contoso.local>域控制器>默认域控制器策略。 此时会显示一条信息性消息。
右键单击 “默认域控制器策略 ”,然后选择“ 编辑”。 此时将显示新窗口。
在“组策略管理编辑器”窗口中,在“默认域控制器策略”树下,导航到计算机配置>策略>Windows 设置>安全设置>本地策略>审核策略。
在详细信息窗格中,右键单击审核帐户管理,然后选择属性。 选择 定义这些策略设置,在成功上放置复选框,在失败上放置复选框,然后单击应用和确定。
在详细信息窗格中,右键单击 审核目录服务访问 并选择 属性。 选择 定义这些策略设置,在成功上放置复选框,在失败上放置复选框,然后单击应用和确定。
关闭“组策略管理编辑器”窗口和“组策略管理”窗口。
通过启动 PowerShell 窗口并键入以下内容来应用审核设置:
gpupdate /force /target:computer
计算机策略更新成功完成的消息应在几分钟后显示。
配置注册表设置
在本部分中,你将配置 sID 历史记录迁移所需的注册表设置,该设置将用于创建 Privileged Access Management 组。
启动 PowerShell。
键入以下命令,将源域配置为允许远程过程调用 (RPC) 访问安全帐户管理器 (SAM) 数据库。
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
这将重启域控制器 CORPDC。 有关此注册表设置的详细信息,请参阅 如何使用 ADMTv2 排查林间 sIDHistory 迁移问题。
为演示目的准备 CORP 资源
要使用 PAM 演示基于安全组的访问控制,您至少需要一个域中的资源。 如果还没有资源,可以使用加入 CORP 域的服务器上的文件文件夹进行演示。 这将使用在 contoso.local 域中创建的“Jen”和“CorpAdmins”AD 对象。
以管理员身份连接到服务器。
创建名为 CorpFS 的新文件夹,并将其与 CorpAdmins 组共享。 以管理员身份打开 PowerShell,并键入以下命令。
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $acl由于 PRIV 用户将从另一个林连接到此服务器,因此可能需要在此服务器上更改防火墙配置,以允许用户的计算机能够连接到此服务器。
在下一步中,你将准备 PRIV 域控制器。