手順 1 - ホストと CORP ドメインの準備
この手順では、PAM によって管理される環境をホストする準備をします。 必要に応じて、新しいドメインとフォレスト ( CORP フォレスト) にドメイン コントローラーとメンバー ワークステーションも作成します。 そのフォレストへのアクセスは、次の手順で作成された PRIV フォレストを使用して、要塞環境によって管理される ID から行われます。 この CORP フォレストは、管理対象のリソースを持つ既存のフォレストをシミュレートします。 このドキュメントには、保護対象となるサンプルのリソース (ファイル共有) が含まれます。
既存の Active Directory (AD) ドメインと、ドメイン管理者である R2 以降Windows Server 2012実行されているドメイン コントローラーがある場合は、代わりにそのドメインを使用し、この記事の「グループを作成する」セクションに進んでください。
CORP ドメイン コントローラーを準備する
このセクションでは、CORP ドメインのドメイン コントローラーを設定する方法について説明します。 CORP ドメインでは、管理ユーザーは要塞環境によって管理されています。 この例で使用されている CORP ドメインのドメイン ネーム システム (DNS) 名は contoso.local です。
Windows Server のインストール
Windows Server 2016以降を仮想マシンにインストールして、CORPDC という名前のコンピューターを作成します。
[Windows Server 2016 (デスクトップ エクスペリエンスを使用するサーバー)] を選択します。
ライセンス条項を確認して同意します。
ディスクは空になるため、[カスタム: Windows のみをインストールする] を選択し、初期化されていないディスク領域を使用します。
その新しいコンピューターに管理者としてサインインします。 [コントロール パネル] に移動します。 コンピューター名を CORPDC に設定し、仮想ネットワーク上の静的 IP アドレスを割り当てます。 サーバーを再起動します。
サーバーが再起動したら、管理者としてサインインします。 [コントロール パネル] に移動します。 更新プログラムを確認し、必要な更新プログラムをインストールするようにコンピューターを構成します。 サーバーを再起動します。
ドメイン コントローラーを確立するためにロールを追加する
このセクションでは、新しい Windows Server をドメイン コントローラーに設定します。 Active Directory Domain Services (AD DS)、DNS サーバー、およびファイル サーバー ([ファイルと記憶域サービス] セクションの一部) の役割を追加し、このサーバーを新しいフォレスト contoso.local のドメイン コントローラーに昇格させます。
注意
CORP ドメインとして使用するドメインが既にあり、そのドメインがドメイン機能レベルとして Windows Server 2012 R2 以降を使用している場合は、「デモ目的で追加のユーザーとグループを作成する」に進むことができます。
管理者としてサインインした状態で、PowerShell を起動します。
次のコマンドを入力します。
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetworkセーフ モードの管理者パスワードを使用するように求められます。 DNS 委任や暗号化の設定に対する警告メッセージが表示されます。 これは正常です。
フォレストの作成が完了したら、サインアウトします。サーバーが自動的に再起動します。
サーバーが再起動したら、ドメインの管理者として CORPDC にサインインします。 これは通常、ユーザー CONTOSO\Administrator です。これは、CORPDC に Windows をインストールしたときに作成されたパスワードを持ちます。
更新プログラムのインストール (Windows Server 2012 R2 のみ)
- CORPDC のオペレーティング システムとして Windows Server 2012 R2 を使用する場合は、修正プログラム 2919442、2919355、および更新プログラム 3155495 を CORPDC にインストールする必要があります。
グループの作成
グループが存在しない場合は、Active Directory での監査用にグループを作成します。 グループの名前は、NetBIOS ドメイン名の後に 3 個のドル記号を付けたものにします (例: CONTOSO$$$)。
各ドメインについて、ドメイン コントローラーにドメイン管理者としてサインインし、次の手順を実行します。
PowerShell を起動します。
次のコマンドを入力し、"CONTOSO" をドメインの NetBIOS 名に置き換えます。
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
場合によっては、グループが既に存在している可能性があります。ドメインが AD の移行シナリオでも使用されている場合に、これは一般的な現象です。
デモンストレーション用に追加のユーザーとグループを作成する
新しい CORP ドメインを作成した場合、PAM シナリオのデモンストレーション用に追加のユーザーとグループを作成する必要があります。 デモンストレーション用のユーザーやグループを、ドメイン管理者にすることも、AD の adminSDHolder 設定で制御することもできません。
注意
CORP ドメインとして使用するドメインが既にあり、デモ目的で使用できるユーザーとグループがある場合は、「 監査の構成」セクションに進むことができます。
CorpAdmins という名前のセキュリティ グループと Jen という名前のユーザーを作成します。 別の名前を使うこともできます。 スマートカードなど、既存のユーザーが既にある場合は、新しいユーザーを作成する必要はありません。
PowerShell を起動します。
次のコマンドを入力します。 パスワード 'Pass@word1' を別のパスワード文字列に置き換えます。
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
監査の構成
それらのフォレストで PAM 構成を確立するには、既存のフォレストでの監査を使用可能にする必要があります。
各ドメインについて、ドメイン コントローラーにドメイン管理者としてサインインし、次の手順を実行します。
[Windows 管理ツールの開始]> に移動し、グループ ポリシー管理を起動します。
このドメインのドメイン コントローラー ポリシーに移動します。 contoso.local の新しいドメインを作成した場合は、フォレスト: contoso.localDomains>contoso.local>>Domain ControllersDefault Domain Controllers> Policy に移動します。 情報メッセージが表示されます。
[既定のドメイン コントローラー ポリシー] を右クリックし、[編集] を選びます。 新しいウィンドウが開きます。
[グループ ポリシー管理エディター] ウィンドウの [既定のドメイン コントローラー ポリシー] ツリーで、[コンピューター構成>ポリシー>][Windows 設定][セキュリティ設定>>] [ローカル ポリシー>] [監査ポリシー] の順に移動します。
[詳細] ウィンドウで [アカウント管理の監査] を右クリックして、[プロパティ] を選びます。 [これらのポリシーの設定を定義する] をクリックし、[成功] と [失敗] のチェックボックスをオンにして、[適用]、[OK] の順にクリックします。
[詳細] ウィンドウで [ディレクトリ サービスのアクセスの監査] を右クリックして、[プロパティ] を選びます。 [これらのポリシーの設定を定義する] をクリックし、[成功] と [失敗] のチェックボックスをオンにして、[適用]、[OK] の順にクリックします。
[グループ ポリシー管理エディター] ウィンドウと [グループ ポリシー管理] ウィンドウを閉じます。
監査の設定を適用するには、[PowerShell] ウィンドウを起動し、次のように入力します。
gpupdate /force /target:computer
数分後に、"コンピューター ポリシーの更新が正常に完了しました" というメッセージが表示されます。
レジストリ設定を構成する
このセクションでは、特権アクセス管理グループの作成に使用される sID 履歴の移行に必要なレジストリ設定を構成します。
PowerShell を起動します。
次のコマンドを入力して、リモート プロシージャ コール (RPC) のセキュリティ アカウント マネージャー (SAM) データベースへのアクセスを許可するようにソース ドメインを構成します。
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
これによって、ドメイン コントローラー CORPDC が再起動します。 このレジストリ設定について詳しくは、「ADMTv2 を使用したフォレスト間の sIDHistory 移行のトラブルシューティングを行う方法」をご覧ください。
デモ目的で CORP リソースを準備する
PAM を使用してセキュリティ グループベースのアクセス制御をデモンストレーションするには、ドメイン内に少なくとも 1 つのリソースが必要です。 リソースがまだない場合は、デモンストレーションの目的で CORP ドメインに参加しているサーバー上のファイル フォルダーを使用できます。 これにより、contoso.local ドメインで作成した "Jen" と "CorpAdmins" AD オブジェクトを利用できるようになります。
管理者としてサーバーに接続します。
CorpFS という新しいフォルダーを作成し、CorpAdmins グループと共有します。 管理者として PowerShell を開き、次のコマンドを入力します。
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $aclPRIV ユーザーは別のフォレストからこのサーバーに接続するため、このサーバーのファイアウォール構成を変更して、ユーザーのコンピューターがこのサーバーに接続できるようにする必要がある場合があります。
次の手順では、PRIV ドメイン コントローラーを準備します。