Krok 1 – Příprava hostitele a domény CORP

Krok 2 »

V tomto kroku se připravíte na hostování prostředí, které bude spravovat PAM. V případě potřeby také vytvoříte řadič domény a členovou pracovní stanici v nové doméně a doménové struktuře (doménová struktura CORP ). Přístup k této doménové struktuře bude z identit spravovaných prostředím bastionu s doménovou strukturou PRIV vytvořenou v dalším kroku. Tato doménová struktura CORP simuluje existující doménovou strukturu obsahující prostředky, které se mají spravovat. Jako ukázkový prostředek, který se má chránit, se v tomto dokumentu používá sdílená složka.

Pokud už máte existující doménu služby Active Directory (AD) s řadičem domény se spuštěným Windows Server 2012 R2 nebo novějším, kde jste správcem domény, můžete místo toho použít tuto doménu a přeskočit k části Vytvoření skupiny v tomto článku.

Příprava řadiče domény CORP

V této části se popisuje postup nastavení řadiče domény pro doménu CORP. Administrativní uživatele v doméně CORP spravuje prostředí bastionu. Název DNS (Domain Name System) domény CORP použité v tomto příkladu je contoso.local.

Instalace Windows Serveru

Nainstalujte Windows Server 2016 nebo novější na virtuální počítač a vytvořte počítač s názvem CORPDC.

1. Zvolte Windows Server 2016 (Server s desktopovým prostředím).

2. Přečtěte si licenční podmínky a přijměte je.

3. Vzhledem k tomu, že disk bude prázdný, vyberte Vlastní: Instalovat jenom Windows a použijte neinicializované místo na disku.

4. Přihlaste se k tomuto novému počítači jako správce. Přejděte k ovládacím panelům. Jako název počítače nastavte CORPDC a přiřaďte mu statickou IP adresu ve virtuální síti. Restartujte server.

5. Po restartování serveru se přihlaste jako správce. Přejděte k ovládacím panelům. Nakonfigurujte pro tento počítač kontrolu aktualizací a nainstalujte všechny potřebné aktualizace. Restartujte server.

Přidání rolí pro vytvoření řadiče domény

V této části nastavíte nový Windows Server tak, aby se stal řadičem domény. Přidáte role Active Directory Domain Services (AD DS), Server DNS a Souborový server (součást části Souborová služba a služba úložiště) a tento server zvýšíte na řadič domény nové doménové struktury contoso.local.

Poznámka

Pokud už máte doménu, kterou chcete použít jako doménu CORP, a tato doména používá Windows Server 2012 R2 nebo novější jako úroveň funkčnosti domény, můžete přeskočit na vytvoření dalších uživatelů a skupin pro demonstrační účely.

1. Zůstaňte přihlášeni jako správce a spusťte PowerShell.

2. Zadejte následující příkazy.

   import-module ServerManager
   
   Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools
   
   Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
   

   Zobrazí se výzva k použití hesla správce nouzového režimu. Poznámka: Zobrazí se také zprávy upozornění pro nastavení kryptografie a delegování DNS. To je normální.

3. Po vytvoření doménové struktury se odhlaste. Server se automaticky restartuje.

4. Po restartování serveru se přihlaste ke CORPDC jako správce domény. Obvykle se jedná o uživatele CONTOSO\Administrator, který bude mít heslo vytvořené při instalaci Windows na CORPDC.

Instalace aktualizací (jenom Windows Server 2012 R2)

1. Pokud se na řadiči domény CORP rozhodnete použít operační systém Windows Server 2012 R2, musíte na něm nainstalovat opravy hotfix 2919442 a 2919355 a aktualizaci 3155495.

Vytvoření skupiny

Vytvořte skupinu pro auditování pomocí služby Active Directory, pokud taková skupina dosud neexistuje. Jako název této skupiny se musí použít název domény v systému NetBIOS, za nímž následují tři znaky dolaru, např. CONTOSO$$$.

V každé doméně se přihlaste k řadiči domény jako správce a proveďte následující kroky:

1. Spusťte PowerShell.

2. Zadejte následující příkazy, ale místo názvu CONTOSO použijte název vaší domény v systému NetBIOS.

   import-module activedirectory
   
   New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
   

V některých případech tato skupina může už existovat. To je normální, pokud tato doména byla také použita ve scénářích migrace AD.

Vytvoření dalších uživatelů a skupin pro demonstrační účely

Pokud jste vytvořili novou doménu CORP, měli byste vytvořit další uživatele a skupiny pro demonstraci scénáře PAM. Uživatelé a skupiny pro demonstrační účely by neměli být správci domény a neměli by také být řízeni nastavením adminSDHolder ve službě AD.

Poznámka

Pokud už máte doménu, kterou budete používat jako doménu CORP, a obsahuje uživatele a skupinu, které můžete použít pro demonstrační účely, můžete přeskočit na část Konfigurace auditování.

Teď vytvoříme skupinu zabezpečení s názvem CorpAdmins a uživatele Jen. Pokud chcete, můžete použít jiná jména. Pokud už máte existujícího uživatele, například s čipovou kartou, nebudete muset vytvářet nového uživatele.

1. Spusťte PowerShell.

2. Zadejte následující příkazy. Heslo Pass@word1 nahraďte jiným řetězcem hesla.

   import-module activedirectory
   
   New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins
   
   New-ADUser –SamAccountName Jen –name Jen
   
   Add-ADGroupMember –identity CorpAdmins –Members Jen
   
   $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   Set-ADAccountPassword –identity Jen –NewPassword $jp
   
   Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
   

Konfigurace auditování

V existujících doménových strukturách je nutné povolit auditování, aby v nich bylo možné vytvořit konfiguraci PAM.

V každé doméně se přihlaste k řadiči domény jako správce a proveďte následující kroky:

1. Přejděte na Spustit>Nástroje pro správu Windows a spusťte Zásady skupiny Management.

2. Přejděte k zásadám řadičů domén pro tuto doménu. Pokud jste vytvořili novou doménu pro contoso.local, přejděte na Doménová struktura: contoso.local>Domény>contoso.local>Výchozí zásady řadičů>domény. Zobrazí se informační zpráva.

3. Klikněte pravým tlačítkem na Výchozí zásada řadičů domény a vyberte Upravit. Zobrazí se nové okno.

4. V okně editoru správy Zásady skupiny ve stromu Výchozí zásady řadičů domény přejděte naZásadykonfigurace> počítačeNastavení>>systému Windows Nastavení> zabezpečeníMístní zásady>auditování zásad.

5. V podokně podrobností klikněte pravým tlačítkem na Auditovat správu účtů a vyberte Vlastnosti. Vyberte Definovat toto nastavení zásad, zaškrtněte políčko Úspěch, zaškrtněte políčko Neúspěch a klikněte na Použít a na OK.

6. V podokně podrobností klikněte pravým tlačítkem na Auditovat přístup k adresářové službě a vyberte Vlastnosti. Vyberte Definovat toto nastavení zásad, zaškrtněte políčko Úspěch, zaškrtněte políčko Neúspěch a klikněte na Použít a na OK.

7. Zavřete okno Editor správy zásad skupiny a okno Správa zásad skupiny.

8. Potom toto nastavení auditu použijte tak, že spustíte okno PowerShellu a zadáte:

   gpupdate /force /target:computer
   

Po několika minutách by se měla zobrazit zpráva Aktualizace zásady počítače byla úspěšně dokončena.

Konfigurace nastavení registru

V této části nakonfigurujete nastavení registru, která jsou potřebná pro migraci historie sID, která se použije k vytvoření skupiny Privileged Access Management.

1. Spusťte PowerShell.

2. Zadejte následující příkazy, které nakonfigurují zdrojovou doménu tak, aby povolovala přístup k vzdálenému volání procedur (RPC) pro databázi správce zabezpečení účtů (SAM).

   New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
   
   Restart-Computer
   

Tato operace restartuje řadič domény CORPDC. Další informace o tomto nastavení registru najdete v tématu věnovaném řešení potíží při migraci sIDHistory mezi doménovými strukturami pomocí ADMTv2.

Příprava prostředku CORP pro demonstrační účely

K předvádění řízení přístupu na základě skupin zabezpečení pomocí PAM budete potřebovat alespoň jeden prostředek v doméně. Pokud ještě nemáte prostředek, můžete pro účely ukázky použít složku souborů na serveru připojeném k doméně CORP . Využijí se objekty Jen a CorpAdmins služby AD, které jste vytvořili v doméně contoso.local.

1. Připojte se k serveru jako správce.

2. Vytvořte novou složku s názvem CorpFS a sdílejte ji se skupinou CorpAdmins. Otevřete PowerShell jako správce a zadejte následující příkazy.

   mkdir c:\corpfs
   
   New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins
   
   $acl = Get-Acl c:\corpfs
   
   $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")
   
   $acl.SetAccessRule($car)
   
   Set-Acl c:\corpfs $acl
   

3. Vzhledem k tomu, že se uživatel PRIV bude připojovat k tomuto serveru z jiné doménové struktury, budete možná muset změnit konfiguraci brány firewall na tomto serveru, aby se počítač uživatele mohl k tomuto serveru připojit.

V dalším kroku připravíte řadič domény PRIV.

Krok 2 »