Partager via

Étape 2 : Préparer le premier contrôleur de domaine PRIV

  • Article

« Étape 1Étape 3 »

Dans cette étape, vous allez créer un domaine qui fournira l’environnement bastion pour l’authentification administrateur. Cette forêt a besoin d’au moins un contrôleur de domaine, d’une station de travail membre et d’au moins un serveur membre. Le serveur membre sera configuré à l’étape suivante.

Créer un contrôleur de domaine Privileged Access Management

Dans cette section, vous allez configurer une machine virtuelle pour agir en tant que contrôleur de domaine pour une nouvelle forêt.

Installer Windows Server 2016 ou version ultérieure

Sur une autre nouvelle machine virtuelle sans logiciel installé, installez Windows Server 2016 ou version ultérieure pour créer un ordinateur « PRIVDC ».

  1. Sélectionnez cette option pour effectuer une installation personnalisée (et non une mise à niveau) de Windows Server. Lors de l’installation, spécifiez Windows Server 2016 (Server with Desktop Experience) ; ne sélectionnez pas le Centre de données ou Server Core.

  2. Lisez et acceptez les termes du contrat de licence.

  3. Étant donné que le disque est vide, sélectionnez Custom : Installez Windows uniquement et utilisez l’espace disque non initialisé.

  4. Après avoir installé la version du système d’exploitation, connectez-vous à ce nouvel ordinateur en tant que nouvel administrateur. Utilisez Panneau de configuration pour définir le nom de l’ordinateur sur PRIVDC. Dans les paramètres réseau, attribuez-lui une adresse IP statique sur le réseau virtuel et configurez le serveur DNS comme étant celui du contrôleur de domaine installé à l’étape précédente. Vous devez redémarrer le serveur.

  5. Une fois le serveur redémarré, connectez-vous en tant qu’administrateur. À l’aide du Panneau de configuration, configurez l’ordinateur pour vérifier les mises à jour, puis installez les mises à jour nécessaires. L’installation des mises à jour peut nécessiter un redémarrage du serveur.

Ajouter des rôles

Ajoutez les rôles services de domaine Active Directory (AD DS) et serveur DNS.

  1. Lancez PowerShell en tant qu’administrateur.

  2. Tapez les commandes suivantes pour préparer l’installation de Windows Server Active Directory.

    import-module ServerManager

Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools

Configurer les paramètres de Registre pour la migration de l’historique SID

Lancez PowerShell et tapez la commande suivante pour configurer le domaine source pour autoriser l’accès à l’appel de procédure distante (RPC) à la base de données du gestionnaire de comptes de sécurité (SAM).

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Créer une forêt Privileged Access Management

Ensuite, faites passer le serveur à un contrôleur de domaine d’une nouvelle forêt.

Dans ce guide, le nom priv.contoso.local est utilisé comme nom de domaine de la nouvelle forêt. Le nom de la forêt n’est pas critique et il n’a pas besoin d’être subordonné à un nom de forêt existant dans l’organisation. Toutefois, le nom de domaine et le nom NetBIOS de la nouvelle forêt doivent être uniques et distincts de ceux de n’importe quel autre domaine de l’organisation.

Créer un domaine et une forêt

  1. Dans une fenêtre PowerShell, tapez les commandes suivantes pour créer le nouveau domaine. Ces commandes créent également une délégation DNS dans un domaine supérieur (contoso.local), qui a été créé à l’étape précédente. Si vous envisagez de configurer DNS ultérieurement, omettez les CreateDNSDelegation -DNSDelegationCredential $ca paramètres.

    $ca= get-credential
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca

  2. Lorsque la fenêtre contextuelle apparaît pour configurer la délégation DNS, fournissez les informations d’identification de l’administrateur de forêt CORP, qui, dans ce guide, était le nom d’utilisateur CONTOSO\Administrator et le mot de passe correspondant à l’étape 1.

  3. La fenêtre PowerShell vous invite à utiliser un mot de passe administrateur en mode sans échec. Entrez deux fois un nouveau mot de passe. Les messages d’avertissement pour les paramètres de délégation et de chiffrement DNS s’affichent ; ils sont normaux.

Une fois la forêt créée, le serveur redémarrera automatiquement.

Créer des comptes d’utilisateur et de service

Créez les comptes d’utilisateur et de service pour la configuration du service et du portail MIM. Ces comptes vont se trouver dans le conteneur Utilisateurs du domaine priv.contoso.local.

  1. Une fois le serveur redémarré, connectez-vous à PRIVDC en tant qu’administrateur de domaine (PRIV\Administrator).

  2. Lancez PowerShell et tapez les commandes suivantes. Le mot de passe « Pass@word1 » n’est qu’un exemple et vous devez utiliser un autre mot de passe pour les comptes.

    import-module activedirectory

$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMMA –name MIMMA

Set-ADAccountPassword –identity MIMMA –NewPassword $sp

Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor

Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp

Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent

Set-ADAccountPassword –identity MIMComponent –NewPassword $sp

Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMSync –name MIMSync

Set-ADAccountPassword –identity MIMSync –NewPassword $sp

Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMService –name MIMService

Set-ADAccountPassword –identity MIMService –NewPassword $sp

Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SharePoint –name SharePoint

Set-ADAccountPassword –identity SharePoint –NewPassword $sp

Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SqlServer –name SqlServer

Set-ADAccountPassword –identity SqlServer –NewPassword $sp

Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName BackupAdmin –name BackupAdmin

Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp

Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1

New-ADUser -SamAccountName MIMAdmin -name MIMAdmin

Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp

Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1

Add-ADGroupMember "Domain Admins" SharePoint

Add-ADGroupMember "Domain Admins" MIMService

Configurez les droits d’audit et d’ouverture de session.

Vous devez configurer l’audit pour que la configuration PAM soit établie entre les forêts.

  1. Vérifiez que vous êtes connecté en tant qu’administrateur de domaine (PRIV\Administrator).

  2. Accédez à Démarrer>la gestion des stratégies de groupe des outils>d’administration Windows.

  3. Accédez à Forêt : priv.contoso.local>Domains>priv.contoso.local>Domain Controllers Default Domain Controllers> Policy. Un message d’avertissement apparaît.

  4. Cliquez avec le bouton droit sur la stratégie contrôleurs de domaine par défaut, puis sélectionnez Modifier.

  5. Dans l’arborescence de la console Éditeur de gestion des stratégies de groupe, accédez à la stratégie d’audit des paramètres de sécurité des paramètres de>sécurité windows des paramètres>>de configuration>>ordinateur.

  6. Dans le volet Détails, cliquez avec le bouton droit sur Auditer la gestion des comptes et sélectionnez Propriétés. Cliquez sur Définir ces paramètres de stratégie, cochez la case Réussite , cochez la case Échec , cliquez sur Appliquer , puis OK.

  7. Dans le volet Détails, cliquez avec le bouton droit sur Auditer l’accès au service d’annuaire et sélectionnez Propriétés. Cliquez sur Définir ces paramètres de stratégie, cochez la case Réussite , cochez la case Échec , cliquez sur Appliquer , puis OK.

  8. Accédez à la stratégie Kerberos des paramètres de sécurité des paramètres des paramètres de l’ordinateur dans les stratégies Kerberos des paramètres>>>de configuration>>de l’ordinateur.

  9. Dans le volet Détails, cliquez avec le bouton droit sur Durée de vie maximale pour le ticket utilisateur, puis sélectionnez Propriétés. Cliquez sur Définir ces paramètres de stratégie, définissez le nombre d’heures sur 1, cliquez sur Appliquer , puis OK. Notez que d’autres paramètres de la fenêtre changent également.

  10. Dans la fenêtre Gestion des stratégies de groupe, sélectionnez Stratégie de domaine par défaut, cliquez avec le bouton droit et sélectionnez Modifier.

  11. Développez les stratégies de configuration>>ordinateur windows Paramètres de sécurité Stratégies>>locales, puis sélectionnez Attribution des droits utilisateur.

  12. Dans le volet Détails, cliquez avec le bouton droit sur Refuser le journal en tant que tâche de traitement par lots, puis sélectionnez Propriétés.

  13. Cochez la case Définir ces paramètres de stratégies, cliquez sur Ajouter un utilisateur ou un groupe, puis dans le champ Noms d’utilisateur et de groupe, tapez priv\mimmonitor ; priv\MIMService ; priv\mimcomponent , puis cliquez sur OK.

  14. Cliquez sur OK pour fermer la fenêtre.

  15. Dans le volet Détails, cliquez avec le bouton droit sur Refuser l’ouverture de session via les services Bureau à distance, puis sélectionnez Propriétés.

  16. Cliquez sur la case Définir ces paramètres de stratégies, cliquez sur Ajouter un utilisateur ou un groupe, puis, dans le champ Noms d’utilisateur et de groupe, tapez priv\mimmonitor ; priv\MIMService ; priv\mimcomponent , puis cliquez sur OK.

  17. Cliquez sur OK pour fermer la fenêtre.

  18. Fermez la fenêtre Éditeur de gestion des stratégies de groupe et la fenêtre Gestion des stratégies de groupe.

  19. Lancez une fenêtre PowerShell en tant qu'administrateur, puis tapez la commande suivante pour mettre à jour le contrôleur de domaine à partir des paramètres de stratégie de groupe.

    gpupdate /force /target:computer

    Après une minute, le message « Mise à jour de la stratégie d’ordinateur s’est terminée avec succès ».

Configurer la redirection de noms DNS sur PRIVDC

À l’aide de PowerShell sur PRIVDC, configurez le transfert de noms DNS afin que le domaine PRIV reconnaisse d’autres forêts existantes.

  1. Lancez PowerShell.

  2. Pour chaque domaine en haut de chaque forêt existante, tapez la commande suivante. Dans cette commande, spécifiez le domaine DNS existant (par exemple contoso.local) et les adresses IP des serveurs DNS principaux de ce domaine.

    Si vous avez créé un domaine contoso.local à l’étape précédente avec la version 10.1.1.31 comme adresse IP, spécifiez 10.1.1.31 pour l’adresse IP du réseau virtuel de l’ordinateur CORPDC.

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31

Remarque

Les autres forêts doivent également être en mesure d’acheminer des requêtes DNS pour la forêt PRIV vers ce contrôleur de domaine. Si vous avez plusieurs forêts Active Directory existantes, vous devez également ajouter un redirecteur conditionnel DNS à chacune de ces forêts.

Configurer Kerberos

  1. À l’aide de PowerShell, ajoutez des SPN pour que SharePoint, l’API REST PAM et le service MIM puissent utiliser l’authentification Kerberos.

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
setspn -S http/pamsrv PRIV\SharePoint
setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
setspn -S FIMService/pamsrv PRIV\MIMService

Remarque

Les étapes suivantes de ce document décrivent comment installer les composants serveur MIM 2016 sur un seul ordinateur. Si vous envisagez d’ajouter un autre serveur pour la haute disponibilité, vous aurez besoin d’une configuration Kerberos supplémentaire, comme décrit dans FIM 2010 : Configuration de l’authentification Kerberos.

Configurer la délégation pour accorder l’accès aux comptes de service MIM

Effectuez les étapes suivantes sur PRIVDC en tant qu’administrateur de domaine.

  1. Lancez Utilisateurs et ordinateurs Active Directory.

  2. Cliquez avec le bouton droit sur le domaine priv.contoso.local , puis sélectionnez Déléguer le contrôle.

  3. Sous l’onglet Utilisateurs et groupes sélectionnés, cliquez sur Ajouter.

  4. Dans la fenêtre Sélectionner des utilisateurs, des ordinateurs ou des groupes, tapez mimcomponent; mimmonitor; mimservice et cliquez sur Vérifier les noms. Une fois les noms soulignés, cliquez sur OK, puis Suivant.

  5. Dans la liste des tâches courantes, sélectionnez Créer, supprimer et gérer des comptes d’utilisateur et modifiez l’appartenance à un groupe, puis cliquez sur Suivant et Terminer.

  6. Là encore, cliquez avec le bouton droit sur le domaine priv.contoso.local , puis sélectionnez Déléguer le contrôle.

  7. Sous l’onglet Utilisateurs et groupes sélectionnés, cliquez sur Ajouter.

  8. Dans la fenêtre Sélectionner des utilisateurs, des ordinateurs ou des groupes, entrez MIMAdmin , puis cliquez sur Vérifier les noms. Une fois les noms soulignés, cliquez sur OK, puis Suivant.

  9. Sélectionnez une tâche personnalisée, appliquez-la à ce dossier, avec des autorisations générales.

  10. Dans la liste des autorisations, sélectionnez les autorisations suivantes :

    • Lire
    • Écrire
    • Créer tous les objets enfants
    • Supprimer tous les objets enfants
    • Lire toutes les propriétés
    • Écrire toutes les propriétés
    • Migrer l’historique DES SID

  11. Cliquez sur Suivant, puis Terminez.

  12. Une fois de plus, cliquez avec le bouton droit sur le domaine priv.contoso.local , puis sélectionnez Délégué Control.

  13. Sous l’onglet Utilisateurs et groupes sélectionnés, cliquez sur Ajouter.

  14. Dans la fenêtre Sélectionner des utilisateurs, des ordinateurs ou des groupes, entrez MIMAdmin , puis cliquez sur Vérifier les noms. Une fois les noms soulignés, cliquez sur OK, puis sur Suivant.

  15. Sélectionnez une tâche personnalisée, appliquez-le à ce dossier, puis cliquez uniquement sur les objets Utilisateur.

  16. Dans la liste des autorisations, sélectionnez Modifier le mot de passe et réinitialiser le mot de passe. Cliquez ensuite sur Suivant , puis Terminer.

  17. Fermez Utilisateurs et ordinateurs Active Directory.

  18. Ouvrez une invite de commandes.

  19. Passez en revue la liste des contrôles d’accès sur l’objet Admin SD Holder dans les domaines PRIV. Par exemple, si votre domaine était « priv.contoso.local », tapez la commande :

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"

  20. Mettez à jour la liste de contrôle d’accès si nécessaire pour vous assurer que le service MIM et le service de composants PAM MIM peuvent mettre à jour les appartenances de groupes protégés par cette liste de contrôle d’accès. Tapez la commande :

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"

Configurer PAM dans Windows Server 2016

Ensuite, autorisez les administrateurs MIM et le compte de service MIM à créer et mettre à jour des principaux d’ombre.

  1. Activer les fonctionnalités Privileged Access Management dans Windows Server 2016 Active Directory sont présentes et activées dans la forêt PRIV. Lancez une fenêtre PowerShell en tant qu’administrateur et tapez les commandes suivantes.

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"

  2. Lancez une fenêtre PowerShell et tapez ADSIEdit.

  3. Ouvrez le menu Actions, cliquez sur « Se connecter à ». Dans le paramètre de point de connexion, remplacez le contexte d’affectation de noms par défaut par « Contexte de nommage par défaut » par « Configuration », puis cliquez sur OK.

  4. Après la connexion, sur le côté gauche de la fenêtre sous « ADSI Edit », développez le nœud Configuration pour afficher « CN=Configuration, DC=priv,.... ». Développez CN=Configuration, puis développez CN=Services.

  5. Cliquez avec le bouton droit sur « CN=Shadow Principal Configuration », puis cliquez sur Propriétés. Lorsque la boîte de dialogue propriétés s’affiche, accédez à l’onglet Sécurité.

  6. Cliquez sur Ajouter. Spécifiez les comptes « MIMService », ainsi que tous les autres administrateurs MIM qui effectueront ultérieurement new-PAMGroup pour créer des groupes PAM supplémentaires. Pour chaque utilisateur, dans la liste des autorisations autorisées, ajoutez « Écrire », « Créer tous les objets enfants » et « Supprimer tous les objets enfants ». Ajoutez les autorisations.

  7. Accédez aux paramètres Advanced Security. Sur la ligne qui autorise l’accès À MIMService, cliquez sur Modifier. Remplacez le paramètre « S’applique à » par « à cet objet et tous les objets descendants ». Mettez à jour ce paramètre d’autorisation et fermez la boîte de dialogue sécurité.

  8. Fermez ADSI Edit.

  9. Ensuite, autorisez les administrateurs MIM à créer et mettre à jour la stratégie d’authentification. Lancez une invite de commandes avec élévation de privilèges et tapez les commandes suivantes, en remplaçant le nom de votre compte d’administrateur MIM pour « mimadmin » dans chacune des quatre lignes :

    dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s

dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo

  10. Redémarrez le serveur PRIVDC pour que ces changements soient pris en compte.

Préparer une station de travail PRIV

Suivez ces instructions pour préparer une station de travail. Cette station de travail sera jointe au domaine PRIV pour effectuer la maintenance des ressources PRIV (telles que MIM).

Installer Windows 10 Entreprise

Sur une autre nouvelle machine virtuelle sans logiciel installé, installez Windows 10 Entreprise pour créer un ordinateur « PRIVWKSTN ».

  1. Utilisez les paramètres Express pendant l'installation.

  2. Notez que l'installation risque de ne pas pouvoir se connecter à Internet. Cliquez pour créer un compte local. Spécifiez un nom d'utilisateur différent. N'utilisez pas « Administrateur » ou « Jen ».

  3. À l’aide de la Panneau de configuration, donnez à cet ordinateur une adresse IP statique sur le réseau virtuel et définissez le serveur DNS préféré de l’interface comme étant celui du serveur PRIVDC.

  4. À l’aide de l’Panneau de configuration, le domaine joint l’ordinateur PRIVWKSTN au domaine priv.contoso.local. Cette étape nécessite la fourniture des informations d’identification de l’administrateur de domaine PRIV. Une fois cette opération terminée, redémarrez l’ordinateur PRIVWKSTN.

  5. Installez les packages redistribuables Visual C++ 2013 pour Windows 64 bits.

Si vous souhaitez plus de détails, consultez la sécurisation des stations de travail d’accès privilégié.

À l’étape suivante, vous allez préparer un serveur PAM.

« Étape 1Étape 3 »