Krok 2 – Příprava prvního řadiče domény PRIV
V tomto kroku vytvoříte novou doménu, která poskytne prostředí bastionu pro ověřování správce. Tato doménová struktura bude potřebovat alespoň jeden řadič domény, členovou pracovní stanici a alespoň jeden členský server. Členský server se nakonfiguruje v dalším kroku.
Vytvoření nového řadiče domény Privileged Access Management
V této části nastavíte virtuální počítač tak, aby fungoval jako řadič domény pro novou doménovou strukturu.
Instalace Windows Serveru 2016 nebo novějšího
Na jiném novém virtuálním počítači bez nainstalovaného softwaru nainstalujte Windows Server 2016 nebo novější a vytvořte počítač PRIVDC.
Vyberte, pokud chcete provést vlastní (neupgradovat) instalaci Windows Serveru. Při instalaci zadejte Windows Server 2016 (Server s desktopovým prostředím); nevybírejte datacentrum ani jádro serveru.
Přečtěte si a přijměte licenční podmínky.
Vzhledem k tomu, že disk bude prázdný, vyberte Vlastní: Nainstalujte pouze Systém Windows a použijte neinicializované místo na disku.
Po instalaci verze operačního systému se přihlaste k tomuto novému počítači jako nový správce. Pomocí Ovládací panely nastavte název počítače na PRIVDC. V nastavení sítě jí udělte statickou IP adresu ve virtuální síti a nakonfigurujte server DNS tak, aby byl řadičem domény nainstalovaným v předchozím kroku. Budete muset server restartovat.
Po restartování serveru se přihlaste jako správce. Pomocí Ovládací panely nakonfigurujte počítač tak, aby kontrolovali aktualizace a nainstalovali potřebné aktualizace. Instalace aktualizací může vyžadovat restartování serveru.
Přidání rolí
Přidejte role Doména služby Active Directory Services (AD DS) a serveru DNS.
Spusťte PowerShell jako správce.
Zadáním následujících příkazů připravte instalaci služby Windows Server Active Directory.
import-module ServerManager Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
Konfigurace nastavení registru pro migraci historie identifikátorů SID
Spusťte PowerShell a zadáním následujícího příkazu nakonfigurujte zdrojovou doménu tak, aby povolala vzdálený přístup volání procedur (RPC) k databázi správce účtů zabezpečení (SAM).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
Vytvoření nové doménové struktury Privileged Access Management
Dále zvyšte úroveň serveru na řadič domény nové doménové struktury.
V této příručce se název priv.contoso.local používá jako název domény nové doménové struktury. Název doménové struktury není kritický a nemusí být podřízený existujícímu názvu doménové struktury v organizaci. Názvy domén i rozhraní NetBIOS nové doménové struktury však musí být jedinečné a odlišné od názvu jakékoli jiné domény v organizaci.
Vytvoření domény a doménové struktury
V okně PowerShellu zadejte následující příkazy, které vytvoří novou doménu. Tyto příkazy také vytvoří delegování DNS v nadřazené doméně (contoso.local), která byla vytvořena v předchozím kroku. Pokud máte v úmyslu nakonfigurovat DNS později, vypněte
CreateDNSDelegation -DNSDelegationCredential $caparametry.$ca= get-credential Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $caKdyž se automaticky otevírané okno zobrazí ke konfiguraci delegování DNS, zadejte přihlašovací údaje pro správce doménové struktury CORP, což v této příručce bylo uživatelské jméno CONTOSO\Administrator a odpovídající heslo z kroku 1.
V okně PowerShellu se zobrazí výzva k použití hesla správce nouzového režimu. Dvakrát zadejte nové heslo. Zobrazí se zprávy upozornění pro delegování DNS a nastavení kryptografie; to jsou normální.
Po dokončení vytváření doménové struktury se server automaticky restartuje.
Vytvoření uživatelských účtů a účtů služeb
Vytvořte uživatelské účty a účty služeb pro nastavení služby a portálu MIM. Tyto účty budou v kontejneru Users domény priv.contoso.local.
Po restartování serveru se přihlaste k PRIVDC jako správce domény (PRIV\Administrator).
Spusťte PowerShell a zadejte následující příkazy. Heslo "Pass@word1" je jen příkladem a pro účty byste měli použít jiné heslo.
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent Set-ADAccountPassword –identity MIMComponent –NewPassword $sp Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 New-ADUser -SamAccountName MIMAdmin -name MIMAdmin Set-ADAccountPassword –identity MIMAdmin -NewPassword $sp Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1 Add-ADGroupMember "Domain Admins" SharePoint Add-ADGroupMember "Domain Admins" MIMService
Konfigurace auditování a přihlašovacích práv
Je potřeba nastavit auditování, aby se konfigurace PAM vytvořila napříč doménovými strukturami.
Ujistěte se, že jste přihlášení jako správce domény (PRIV\Administrator).
Přejděte do nabídky Správa>zásad skupiny nástrojů pro>správu systému Windows.
Přejděte do doménové struktury: priv.contoso.local>Domains>priv.contoso.local>Domain Controllers Default Domain Controllers>Policy. Zobrazí se zpráva s upozorněním.
Klikněte pravým tlačítkem myši na výchozí zásady řadičů domény a vyberte Upravit.
Ve stromu konzoly Editoru zásad správy zásad skupiny přejděte do části Zásady>konfigurace>počítače– Nastavení zabezpečení Nastavení>zabezpečení Místní zásady auditování zásad> zabezpečení.>
V podokně Podrobností klikněte pravým tlačítkem myši na audit správy účtů a vyberte Vlastnosti. Klepněte na tlačítko Definovat tato nastavení zásad, zaškrtněte políčko Úspěch , zaškrtněte políčko Selhání , klepněte na tlačítko Použít a pak OK.
V podokně Podrobností klikněte pravým tlačítkem na možnost Auditovat přístup k adresářové službě a vyberte Vlastnosti. Klepněte na tlačítko Definovat tato nastavení zásad, zaškrtněte políčko Úspěch , zaškrtněte políčko Selhání , klepněte na tlačítko Použít a pak OK.
Přejděte do části Zásady konfigurace>počítače– Zásady protokolu>Kerberos pro nastavení nastavení zabezpečení v nastaveních>>>zabezpečení.
V podokně Podrobností klikněte pravým tlačítkem myši na Maximální životnost lístku uživatele a vyberte Vlastnosti. Klepněte na tlačítko Definovat tato nastavení zásad, nastavte počet hodin na 1, klepněte na tlačítko Použít a pak OK. Všimněte si, že se změní i další nastavení v okně.
V okně Správa zásad skupiny vyberte Výchozí zásady domény, klikněte pravým tlačítkem myši a vyberte Upravit.
Rozbalte položku Zásady>konfigurace>počítače s nastavením>>zabezpečení Nastavení zabezpečení Místní zásady a vyberte Přiřazení uživatelských práv.
V podokně Podrobností klikněte pravým tlačítkem myši na Odepřít přihlášení jako dávkovou úlohu a vyberte Vlastnosti.
Zaškrtněte políčko Definovat tato nastavení zásad, klepněte na tlačítko Přidat uživatele nebo skupinu a v poli Názvy uživatelů a skupin zadejte priv\mimmonitor; priv\MIMService; priv\mimcomponent a klikněte na tlačítko OK.
Kliknutím na tlačítko OK zavřete okno.
V podokně Podrobností klikněte pravým tlačítkem na Odepřít přihlášení přes Vzdálenou plochu a vyberte Vlastnosti.
Klikněte na zaškrtávací políčko Definovat tato nastavení zásad, klepněte na tlačítko Přidat uživatele nebo skupinu a v poli Názvy uživatelů a skupin zadejte priv\mimmonitor; priv\MIMService; priv\mimcomponent a klikněte na tlačítko OK.
Kliknutím na tlačítko OK zavřete okno.
Zavřete okno Editor správy zásad skupiny a okno Správa zásad skupiny.
Spusťte okno PowerShellu jako správce a zadáním následujícího příkazu aktualizujte řadič domény z nastavení zásad skupiny.
gpupdate /force /target:computerPo minutě se dokončí zpráva "Aktualizace zásad počítače byla úspěšně dokončena".
Konfigurace předávání názvů DNS v PRIVDC
Pomocí PowerShellu v PRIVDC nakonfigurujte předávání názvů DNS, aby doména PRIV rozpoznala další existující doménové struktury.
Spusťte PowerShell.
Pro každou doménu v horní části každé existující doménové struktury zadejte následující příkaz. V tomto příkazu zadejte existující doménu DNS (například contoso.local) a IP adresy primárních serverů DNS této domény.
Pokud jste v předchozím kroku vytvořili jednu doménu contoso.local s IP adresou 10.1.1.31 , zadejte ip adresu počítače CORPDC 10.1.1.31 .
Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
Poznámka:
Ostatní doménové struktury musí být také schopné směrovat dotazy DNS pro doménovou strukturu PRIV na tento řadič domény. Pokud máte více existujících doménových struktur služby Active Directory, musíte do každé z těchto doménových struktur přidat také podmíněný předávač DNS.
Konfigurace protokolu Kerberos
Pomocí PowerShellu přidejte hlavní názvy služeb, aby sharepointové služby, PAM REST API a služba MIM mohly používat ověřování kerberos.
setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint setspn -S http/pamsrv PRIV\SharePoint setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService setspn -S FIMService/pamsrv PRIV\MIMService
Poznámka:
Další kroky tohoto dokumentu popisují, jak nainstalovat součásti serveru MIM 2016 do jednoho počítače. Pokud plánujete přidat další server pro zajištění vysoké dostupnosti, budete potřebovat další konfiguraci protokolu Kerberos, jak je popsáno v tématu FIM 2010: Nastavení ověřování kerberos.
Konfigurace delegování pro udělení přístupu účtům služby MIM
Pro PRIVDC jako správce domény proveďte následující kroky.
Spusťte Uživatelé a počítače služby Active Directory.
Klikněte pravým tlačítkem na doménu priv.contoso.local a vyberte Delegovat řízení.
Na kartě Vybraní uživatelé a skupiny klikněte na Přidat.
V okně Vybrat uživatele, počítače nebo skupiny zadejte
mimcomponent; mimmonitor; mimservicea klepněte na tlačítko Zkontrolovat jména. Po podtržení názvů klikněte na tlačítko OK a potom na tlačítko Další.V seznamu běžných úkolů vyberte Vytvořit, odstranit a spravovat uživatelské účty a Upravit členství ve skupině a potom klepněte na tlačítko Další a Dokončit.
Znovu klikněte pravým tlačítkem na doménu priv.contoso.local a vyberte Delegovat řízení.
Na kartě Vybraní uživatelé a skupiny klikněte na Přidat.
V okně Vybrat uživatele, počítače nebo skupiny zadejte MIMAdmin a klikněte na Zkontrolovat jména. Po podtržení názvů klikněte na tlačítko OK a potom na tlačítko Další.
Vyberte vlastní úkol, použijte pro tuto složku s oprávněními Obecné.
V seznamu oprávnění vyberte následující oprávnění:
- Přečíst
- Zapsat
- Vytvoření všech podřízených objektů
- Odstranit všechny podřízené objekty
- Číst všechny vlastnosti
- Zápis všech vlastností
- Migrace historie identifikátorů SID
Klikněte na Další a pak na Dokončit.
Ještě jednou klikněte pravým tlačítkem na doménu priv.contoso.local a vyberte Delegovat řízení.
Na kartě Vybraní uživatelé a skupiny klikněte na Přidat.
V okně Vybrat uživatele, počítače nebo skupiny zadejte MIMAdmin a klikněte na tlačítko Zkontrolovat jména. Po podtržení názvů klikněte na OK a potom na Další.
Vyberte vlastní úlohu, použijte ji u této složky a potom klikněte pouze na objekty Uživatele.
V seznamu oprávnění vyberte Změnit heslo a Resetovat heslo. Potom klepněte na tlačítko Další a potom dokončit.
Zavřete Uživatelé a počítače služby Active Directory.
Otevřete příkazový řádek.
Zkontrolujte seznam řízení přístupu na objektu SD Holder správce v doménách PRIV. Pokud například vaše doména byla priv.contoso.local, zadejte příkaz:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"Podle potřeby aktualizujte seznam řízení přístupu, aby služba MIM a služba komponent MIM PAM mohly aktualizovat členství skupin chráněných tímto seznamem ACL. Zadejte příkaz:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member" dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
Konfigurace PAM ve Windows Serveru 2016
Dále autorizujete správce MIM a účet služby MIM, aby vytvořili a aktualizovali stínové objekty zabezpečení.
Povolte funkce Privileged Access Management ve Službě Active Directory ve Windows Serveru 2016 a povolte je v doménové struktuře PRIV. Spusťte okno PowerShellu jako správce a zadejte následující příkazy.
$of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'" Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"Spusťte okno PowerShellu a zadejte ADSIEdit.
Otevřete nabídku Akce a klikněte na Připojit k. V nastavení spojovacího bodu změňte kontext pojmenování z "Výchozí kontext pojmenování" na "Konfigurace" a klepněte na tlačítko OK.
Po připojení rozbalte uzel Konfigurace na levé straně okna pod "ADSI Edit", aby se zobrazila hodnota CN=Configuration,DC=priv,...." (Konfigurace CN=Configuration,DC=priv,....). Rozbalte CN=Configuration a potom rozbalte CN=Services.
Klikněte pravým tlačítkem na CN=Shadow Principal Configuration a klikněte na Vlastnosti. Po zobrazení dialogového okna vlastností přejděte na kartu zabezpečení.
Klikněte na tlačítko Přidat. Zadejte účty MIMService a další správce MIM, kteří později budou provádět new-PAMGroup pro vytvoření dalších skupin PAM. Pro každého uživatele v seznamu povolených oprávnění přidejte "Zapisovat", "Vytvořit všechny podřízené objekty" a "Odstranit všechny podřízené objekty". Přidejte oprávnění.
Změňte nastavení rozšířeného zabezpečení. Na řádku, který umožňuje přístup MIMService, klikněte na Upravit. Změňte nastavení "Platí pro" na "na tento objekt a všechny potomky". Aktualizujte toto nastavení oprávnění a zavřete dialogové okno zabezpečení.
Zavřete nástroj ADSI Edit.
Dále autorizujete správce MIM, aby vytvořili a aktualizovali zásady ověřování. Spusťte příkazový řádek se zvýšenými oprávněními a do každého ze čtyř řádků zadejte následující příkazy a nahraďte název účtu správce MIM za "mimadmin":
dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySiloRestartujte server PRIVDC, aby se tyto změny projevily.
Příprava pracovní stanice PRIV
Při přípravě pracovní stanice postupujte podle těchto pokynů. Tato pracovní stanice se připojí k doméně PRIV pro provádění údržby prostředků PRIV (například MIM).
Instalace Windows 10 Enterprise
Na jiném novém virtuálním počítači bez nainstalovaného softwaru nainstalujte Windows 10 Enterprise a vytvořte počítač PRIVWKSTN.
Během instalace použijte expresní nastavení.
Upozorňujeme, že instalace se nemusí připojit k internetu. Kliknutím vytvoříte místní účet. Zadejte jiné uživatelské jméno; nepoužívejte "Administrator" nebo "Jen".
Pomocí Ovládací panely dejte tomuto počítači statickou IP adresu ve virtuální síti a nastavte upřednostňovaný server DNS rozhraní na server PRIVDC.
Pomocí Ovládací panely připojte počítač PRIVWKSTN k doméně priv.contoso.local. Tento krok bude vyžadovat zadání přihlašovacích údajů správce domény PRIV. Po dokončení restartujte počítač PRIVWKSTN.
Nainstalujte distribuovatelné balíčky Visual C++ 2013 pro 64bitovou verzi Windows.
Další podrobnosti najdete v tématu Zabezpečení pracovních stanic s privilegovaným přístupem.
V dalším kroku připravíte server PAM.