Paso 2: Preparación del primer controlador de dominio PRIV
En este paso, creará un dominio que proporcionará el entorno bastión para la autenticación de administrador. Este bosque necesitará al menos un controlador de dominio, una estación de trabajo miembro y al menos un servidor miembro. El servidor miembro se configurará en el paso siguiente.
Creación de un nuevo controlador de dominio de Privileged Access Management
En esta sección, configurará una máquina virtual para que actúe como controlador de dominio para un nuevo bosque.
Instalación de Windows Server 2016 o posterior
En otra máquina virtual nueva sin software instalado, instale Windows Server 2016 o posterior para convertir un equipo en "PRIVDC".
Seleccione la opción de instalación personalizada (y no la de actualización) de Windows Server. Al instalar, especifique Windows Server 2016 (Servidor con experiencia de escritorio); no seleccione Centro de datos ni Server Core.
Revise los términos de licencia y acéptelos.
Puesto que el disco estará vacío, seleccione Personalizado: Instalar Solo Windows y usar el espacio en disco sin inicializar.
Después de instalar la versión del sistema operativo, inicie sesión en este nuevo equipo como administrador nuevo. Use Panel de control para establecer el nombre del equipo en PRIVDC. En la configuración de red, asígnele una dirección IP estática en la red virtual y configure el servidor DNS para que sea el del controlador de dominio instalado en el paso anterior. Tendrá que reiniciar el servidor.
Una vez reiniciado el servidor, inicie sesión como administrador. Mediante el Panel de control, configure el equipo para que compruebe si hay actualizaciones y para que instale todas las actualizaciones necesarias. La instalación de actualizaciones puede requerir un reinicio del servidor.
Agregar roles
Agregue los roles de Servicios de dominio de Active Directory (AD DS) y servidor DNS.
Inicie PowerShell como administrador.
Escriba los siguientes comandos para prepararse para una instalación de Windows Server Active Directory.
import-module ServerManager Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
Configuración de las opciones del Registro para la migración del historial de SID
Inicie PowerShell y escriba el siguiente comando para configurar el dominio de origen para permitir el acceso de llamada a procedimiento remoto (RPC) a la base de datos del administrador de cuentas de seguridad (SAM).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
Creación de un nuevo bosque de Privileged Access Management
A continuación, promueva el servidor a un controlador de dominio de un nuevo bosque.
En esta guía, el nombre priv.contoso.local se usa como nombre de dominio del nuevo bosque. El nombre del bosque no es crítico y no es necesario subordinarse a un nombre de bosque existente en la organización. Sin embargo, los nombres de NetBIOS y de dominio del bosque nuevo deben ser únicos y diferentes a los de cualquier otro dominio existente en la organización.
Creación de un dominio y un bosque
En una ventana de PowerShell, escriba los siguientes comandos para crear el nuevo dominio. Estos comandos también crearán una delegación DNS en un dominio superior (contoso.local), que se creó en un paso anterior. Si quiere configurar DNS más adelante, omita los
CreateDNSDelegation -DNSDelegationCredential $ca
parámetros.$ca= get-credential Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca
Cuando aparezca el elemento emergente para configurar la delegación DNS, proporcione las credenciales para el administrador del bosque CORP, que en esta guía era el nombre de usuario CONTOSO\Administrator y la contraseña correspondiente del paso 1.
La ventana de PowerShell le pedirá que use una contraseña de administrador del modo seguro. Escriba una nueva contraseña dos veces. Aparecerán mensajes de advertencia para la delegación DNS y la configuración de criptografía; son normales.
Cuando se haya terminado de crear el bosque, el servidor se reiniciará automáticamente.
Creación de cuentas de usuario y servicio
Cree las cuentas de usuario y servicio para la configuración del servicio y el portal de MIM. Estas cuentas se incluirán en el contenedor Usuarios del dominio priv.contoso.local.
Una vez reiniciado el servidor, inicie sesión en PRIVDC como administrador de dominio (PRIV\Administrator).
Inicie PowerShell y escriba los siguientes comandos. La contraseña "Pass@word1" es solo un ejemplo y debe usar una contraseña diferente para las cuentas.
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent Set-ADAccountPassword –identity MIMComponent –NewPassword $sp Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 New-ADUser -SamAccountName MIMAdmin -name MIMAdmin Set-ADAccountPassword –identity MIMAdmin -NewPassword $sp Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1 Add-ADGroupMember "Domain Admins" SharePoint Add-ADGroupMember "Domain Admins" MIMService
Configuración de los derechos de auditoría e inicio de sesión
Debe configurar la auditoría para que la configuración de PAM se establezca entre bosques.
Asegúrese de que ha iniciado sesión como administrador de dominio (PRIV\Administrator).
Vaya a Iniciar la>administración de directivas de grupo de Herramientas>administrativas de Windows.
Vaya a Bosque: priv.contoso.local>Domains>priv.contoso.local>Domain Controllers Default Domain Controllers Policy(Directiva predeterminada de controladores>de dominio). Aparecerá un mensaje de advertencia.
Haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y seleccione Editar.
En el árbol de la consola del Editor de administración de directivas de grupo, vaya a Directivas de configuración>>del equipo Configuración de Windows Configuración configuración>Configuración de>seguridad Directiva de auditoría de directivas>locales.
En el panel Detalles, haga clic con el botón derecho en Auditar administración de cuentas y seleccione Propiedades. Haga clic en Definir esta configuración de directiva, active la casilla Correcto , active la casilla Error , haga clic en Aplicar y, a continuación , en Aceptar.
En el panel Detalles, haga clic con el botón derecho en Auditar acceso al servicio de directorio y seleccione Propiedades. Haga clic en Definir esta configuración de directiva, active la casilla Correcto , active la casilla Error , haga clic en Aplicar y, a continuación , en Aceptar.
Vaya a Directivas de configuración del>>equipo Directivas de configuración de Windows Configuración de>la cuenta>>Directivas de cuenta Kerberos Policy.
En el panel Detalles, haga clic con el botón derecho en Duración máxima del vale de usuario y seleccione Propiedades. Haga clic en Definir esta configuración de directiva, establezca el número de horas en 1, haga clic en Aplicar y, a continuación, en Aceptar. Tenga en cuenta que las otras definiciones de la ventana también cambiarán.
En la ventana Administración de directivas de grupo, seleccione Directiva de dominio predeterminada, haga clic con el botón derecho y seleccione Editar.
Expanda Directivas de configuración del>>equipo Configuración de Windows Opciones de>>seguridad Directivas locales y seleccione Asignación de derechos de usuario.
En el panel Detalles, haga clic con el botón derecho en Denegar inicio de sesión como un trabajo por lotes y seleccione Propiedades.
Active la casilla Definir esta configuración de directivas, haga clic en Agregar usuario o grupo y, en el campo Nombres de usuario y grupo, escriba priv\mimmonitor; priv\MIMService; priv\mimcomponent y haga clic en Aceptar.
Haga clic en Aceptar para cerrar la ventana.
En el panel Detalles, haga clic con el botón derecho en Denegar inicio de sesión a través de Servicios de Escritorio remoto y seleccione Propiedades.
Haga clic en la casilla Definir esta configuración de directivas, haga clic en Agregar usuario o grupo y, en el campo Nombres de usuario y grupo, escriba priv\mimmonitor; priv\MIMService; priv\mimcomponent y haga clic en Aceptar.
Haga clic en Aceptar para cerrar la ventana.
Cierre la ventana Editor de administración de directivas de grupo y la ventana Administración de directivas de grupo.
Inicie una ventana de PowerShell como administrador y escriba el siguiente comando para actualizar el controlador de dominio a partir de la configuración de directiva de grupo.
gpupdate /force /target:computer
Después de un minuto, se completará con el mensaje "Actualización de directiva de equipo se ha completado correctamente".
Configuración del reenvío de nombres DNS
Con PowerShell en PRIVDC, configure el reenvío de nombres DNS para que el dominio PRIV reconozca otros bosques existentes.
Inicie PowerShell.
Para cada dominio en la parte superior de cada bosque existente, escriba el siguiente comando. En ese comando, especifique el dominio DNS existente (como contoso.local) y las direcciones IP de los servidores DNS principales de ese dominio.
Si creó un dominio contoso.local en el paso anterior con 10.1.1.31 como dirección IP, especifique 10.1.1.31 para la dirección IP de la red virtual del equipo CORPDC.
Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
Nota:
Los otros bosques también deben poder enrutar las consultas DNS del bosque PRIV a este controlador de dominio. Si tiene varios bosques de Active Directory existentes, también debe agregar un reenviador condicional DNS a cada uno de esos bosques.
Configuración de Kerberos
Con PowerShell, agregue SPN para que SharePoint, LA API REST de PAM y el servicio MIM puedan usar la autenticación Kerberos.
setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint setspn -S http/pamsrv PRIV\SharePoint setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService setspn -S FIMService/pamsrv PRIV\MIMService
Nota:
Los pasos siguientes de este documento describen cómo instalar componentes de servidor de MIM 2016 en un solo equipo. Si planea agregar otro servidor para alta disponibilidad, necesitará una configuración adicional de Kerberos, tal como se describe en FIM 2010: Configuración de autenticación Kerberos.
Configuración de la delegación para conceder acceso a las cuentas de servicio de MIM
Realice los pasos siguientes en PRIVDC como administrador de dominio.
Inicie Usuarios y equipos de Active Directory.
Haga clic con el botón derecho en el dominio priv.contoso.local y seleccione Delegar control.
En la pestaña Usuarios y grupos seleccionados, haga clic en Agregar.
En la ventana Seleccionar usuarios, equipos o grupos, escriba
mimcomponent; mimmonitor; mimservice
y haga clic en Comprobar nombres. Una vez subrayados los nombres, haga clic en Aceptar y, a continuación, en Siguiente.En la lista de tareas comunes, seleccione Crear, eliminar y administrar cuentas de usuario y Modificar la pertenencia de un grupo y, a continuación, haga clic en Siguiente y Finalizar.
De nuevo, haga clic con el botón derecho en el dominio priv.contoso.local y seleccione Delegar control.
En la pestaña Usuarios y grupos seleccionados, haga clic en Agregar.
En la ventana Seleccionar usuarios, equipos o grupos, escriba MIMAdmin y haga clic en Comprobar nombres. Una vez subrayados los nombres, haga clic en Aceptar y, a continuación, en Siguiente.
Seleccione tarea personalizada, aplique a esta carpeta, con permisos generales.
En la lista de permisos, seleccione los permisos siguientes:
- Leer
- Escribir
- Crear todos los objetos secundarios
- Eliminar todos los objetos secundarios
- Leer todas las propiedades
- Escribir todas las propiedades
- Migración del historial de SID
Haga clic en Siguiente y, a continuación , en Finalizar.
Una vez más, haga clic con el botón derecho en el dominio priv.contoso.local y seleccione Delegar control.
En la pestaña Usuarios y grupos seleccionados, haga clic en Agregar.
En la ventana Seleccionar usuarios, equipos o grupos, escriba MIMAdmin y haga clic en Comprobar nombres. Una vez subrayados los nombres, haga clic en Aceptar y, a continuación, en Siguiente.
Seleccione una tarea personalizada, aplique a esta carpeta y, a continuación, haga clic solo en Objetos de usuario.
En la lista de permisos, seleccione Cambiar contraseña y Restablecer contraseña. A continuación, haga clic en Siguiente y, a continuación, en Finalizar.
Cierre Usuarios y equipos de Active Directory.
Abra un símbolo del sistema.
Revise la lista de control de acceso en el objeto Admin SD Holder en los dominios PRIV. Por ejemplo, si el dominio era "priv.contoso.local", escriba el comando :
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"
Actualice la lista de control de acceso según sea necesario para asegurarse de que el servicio MIM y el servicio de componentes DE MIM PAM pueden actualizar las pertenencias de grupos protegidos por esta ACL. Escriba el comando :
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member" dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
Configurar PAM en Windows Server 2016
A continuación, autorice a los administradores de MIM y a la cuenta de servicio de MIM para crear y actualizar entidades de seguridad de sombra.
Habilite las características de Privileged Access Management en Windows Server 2016 Active Directory están presentes y habilitadas en el bosque PRIV. Inicie una ventana de PowerShell como administrador y escriba los siguientes comandos.
$of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'" Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"
Inicie una ventana de PowerShell y escriba ADSIEdit.
Abra el menú Acciones, haga clic en "Conectar a". En la configuración Punto de conexión, cambie el contexto de nomenclatura de "Contexto de nomenclatura predeterminado" a "Configuración" y haga clic en Aceptar.
Después de conectarse, en el lado izquierdo de la ventana debajo de "ADSI Edit", expanda el nodo Configuración para ver "CN=Configuration,DC=priv,....". Expanda CN=Configuration y, a continuación, expanda CN=Services.
Haga clic con el botón derecho en "CN=Shadow Principal Configuration" y haga clic en Propiedades. Cuando aparezca el cuadro de diálogo de propiedades, cambie a la pestaña seguridad.
Haga clic en Agregar. Especifique las cuentas "MIMService", así como cualquier otro administrador de MIM que realice más adelante New-PAMGroup para crear grupos de PAM adicionales. Para cada usuario, en la lista de permisos permitidos, agregue "Write", "Create all child objects" (Crear todos los objetos secundarios) y "Delete all child objects" (Eliminar todos los objetos secundarios). Agregue los permisos.
Cambie a Configuración de Advanced Security. En la línea que permite el acceso a MIMService, haga clic en Editar. Cambie el valor "Se aplica a" a "a este objeto y a todos los objetos descendientes". Actualice esta configuración de permisos y cierre el cuadro de diálogo de seguridad.
Cierre ADSI Edit.
A continuación, autorice a los administradores de MIM a crear y actualizar la directiva de autenticación. Inicie un símbolo del sistema con privilegios elevados y escriba los siguientes comandos, sustituyendo el nombre de la cuenta de administrador de MIM por "mimadmin" en cada una de las cuatro líneas:
dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
Reinicie el servidor PRIVDC para que se apliquen los cambios.
Preparación de una estación de trabajo PRIV
Siga estas instrucciones para preparar una estación de trabajo. Esta estación de trabajo se unirá al dominio PRIV para realizar el mantenimiento de recursos PRIV (como MIM).
Instalación de Windows 10 Enterprise
En otra nueva máquina virtual sin ningún software instalado, instale Windows 10 Enterprise para crear un equipo "PRIVWKSTN".
Use la configuración rápida durante la instalación.
Tenga en cuenta que es posible que la instalación no pueda conectarse a Internet. Haga clic en Crear una cuenta local. Especifique otro nombre de usuario; no utilice "Administrador" o "Jen".
Con el Panel de control, asigne a este equipo una dirección IP estática en la red virtual y establezca el servidor DNS preferido de la interfaz para que sea el del servidor PRIVDC.
Con el Panel de control, el dominio une el equipo PRIVWKSTN al dominio priv.contoso.local. Este paso requerirá proporcionar las credenciales de administrador de dominio PRIV. Cuando se complete, reinicie el equipo PRIVWKSTN.
Instale los paquetes redistribuibles de Visual C++ 2013 para Windows de 64 bits.
Si desea más detalles, consulte Protección de estaciones de trabajo de acceso con privilegios.
En el paso siguiente, preparará un servidor PAM.