Compartir a través de

Paso 7: Elevar los privilegios de acceso de un usuario

  • Artículo

« Paso 6

En este paso se muestra que un usuario puede solicitar acceso a un rol a través de MIM.

Comprobación de que el acceso al recurso está restringido

Sin privilegios elevados, la cuenta de Jen no podrá acceder al recurso con privilegios en el bosque CORP.

  1. Haga que Jen cierre la sesión de todos los equipos para quitar las conexiones abiertas almacenadas en caché.
  2. Inicie sesión en PRIVWKSTN.
  3. Abra un símbolo del sistema DOS.
  4. Escriba el comando que requerirá que el usuario tenga una pertenencia a un grupo de seguridad. Por ejemplo, si el grupo de seguridad protege la capacidad de usar un recurso compartido de archivos corpfs en el equipo CORPDC , escriba dir \\corpdc\corpfs. Debería aparecer el mensaje de error Acceso denegado.
  5. Deje abierta la ventana de símbolo del sistema.

Solicitud de acceso con privilegios desde MIM

Nota

Se recomienda que la estación de trabajo sea una estación de trabajo con privilegios. Para obtener más información, consulte la guía de protección de dispositivos .

  1. En PRIVWKSTN, inicie sesión como PRIV\priv.jen.

  2. Inicie PowerShell.

  3. Escriba el siguiente comando.

    runas /user:Priv.Jen@priv.contoso.local powershell

  4. Cuando se le solicite, escriba la contraseña de la PRIV.Jen cuenta. Se mostrará una nueva ventana de símbolo del sistema.

  5. Cuando aparezca la ventana de PowerShell, escriba los siguientes comandos.

    Nota

    Después de ejecutar estos comandos, todos los pasos siguientes están sujetos a limitación temporal.

    Import-module MIMPAM
$r = Get-PAMRoleForRequest | ? { $_.DisplayName –eq "CorpAdmins" }
New-PAMRequest –role $r
klist purge

  6. Una vez completado, cierre la ventana de PowerShell.

  7. En la ventana de comandos, escriba el siguiente comando:

    runas /user:Priv.Jen@priv.contoso.local powershell

  8. Escriba la contraseña de la PRIV.Jen cuenta. Se mostrará una nueva ventana de símbolo del sistema.

  9. Valide el acceso con privilegios elevados en la ventana recién abierta ha proporcionado al usuario nuevas pertenencias a grupos. escriba el siguiente comando.

    whoami /groups

  10. A continuación, escriba el comando que anteriormente en el paso había sido bloqueado debido a la falta de acceso. Por ejemplo, si el recurso era un recurso compartido corpfsde archivos , escriba el siguiente comando.

    dir \\corpdc\corpfs

    Si se produce un error en el comando dir con el mensaje de error Acceso denegado, vuelva a comprobar la relación de confianza.

Resumen

Ahora que ha completado este tutorial, ha demostrado un escenario de Privileged Access Management. En este escenario, los privilegios de usuario se elevaron durante un período de tiempo limitado, lo que permite al usuario acceder a los recursos protegidos con una cuenta con privilegios independiente. Desde el momento en que finalice la sesión de elevación, la cuenta con privilegios no podrá acceder al recurso protegido. A continuación, una vez que migre los derechos de acceso al sistema privileged Access Management, el acceso que estaba permanentemente disponible para la cuenta de usuario original, solo será posible para las cuentas especiales a petición. Como resultado, las pertenencias a grupos para grupos con privilegios elevados solo están disponibles durante períodos limitados de tiempo.

« Paso 6