次の方法で共有

ステップ 6: Privileged Access Managment へのグループの移行

  • [アーティクル]

« 手順 5 手順 7 »

PRIV フォレストで特権アカウントを作成する場合は、PowerShell コマンドレットを使用します。 これらのコマンドレットは、以下の機能を実行します。

  • CORP フォレスト内のグループと同じセキュリティ識別子 (SID) を持つ PRIV フォレスト内に新しいグループを作成します。
  • PRIV フォレスト内のグループに対応する MIM サービス データベースにオブジェクトを作成します。
  • ユーザー アカウントごとに 2 つのオブジェクトを MIM サービス データベースに作成します。1 つは CORP フォレスト内のユーザーに対応し、もう 1 つは PRIV フォレスト内の新しいユーザー アカウントに対応します。
  • MIM サービス データベース内に PAM ロール オブジェクトを作成します。

グループごとに 1 回、グループのメンバーごとに 1 回、コマンドレットを実行する必要があります 移行コマンドレットによって CORP フォレスト内のユーザーやグループは変更または修正されません。このため、PAM 管理者が後で手動で行う必要があります。

  1. PRIV\MIMAdmin として PAMSRV に直接サインインするか、または PRIV ワークステーションからサインインします。

  2. PowerShell を起動し、次のコマンドを入力します。

   Import-Module MIMPAM
   Import-Module ActiveDirectory

  1. デモンストレーションを目的として、既存のフォレスト内のユーザー アカウントに対応するユーザー アカウントを PRIV 内に作成します。

    PowerShell に次のコマンドを入力します。 前の手順で contoso.local に作成したユーザーの名前が Jen でない場合は、それに応じてコマンドのパラメーターを変更してください。 パスワード ’Pass@word1’ は一例ですので、固有のパスワード値に変更する必要があります。

        $sj = New-PAMUser –SourceDomain CONTOSO.local –SourceAccountName Jen
    $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    Set-ADAccountPassword –identity priv.Jen –NewPassword $jp
    Set-ADUser –identity priv.Jen –Enabled 1

  2. デモンストレーションを目的として、CONTOSO ドメインから PRIV ドメインに、グループとそのメンバー Jen をコピーします。

    以下のコマンドを実行します。入力を求めるメッセージが表示されたら、CORP ドメイン管理者 (CONTOSO\Administrator) のパスワードを指定します。

         $ca = get-credential –UserName CONTOSO\Administrator –Message "CORP forest domain admin credentials"
     $pg = New-PAMGroup –SourceGroupName "CorpAdmins" –SourceDomain CONTOSO.local                 –SourceDC CORPDC.contoso.local –Credentials $ca
     $pr = New-PAMRole –DisplayName "CorpAdmins" –Privileges $pg –Candidates $sj

    参照用として、New-PAMGroup コマンドは、次のパラメーターを取ります。

    • NetBIOS 形式の CORP フォレスト ドメイン名
    • そのドメインからコピーするグループの名前
    • CORPフォレスト ドメイン コントローラーの NetBIOS 名
    • CORP フォレストでのドメイン管理ユーザーの資格情報

  3. (オプション) CORPDC 上で、Jen のアカウントがまだ存在している場合は、それを CONTOSO CorpAdmins グループから削除します。 これは、デモンストレーションの目的でのみ必要な操作で、PRIV フォレストで作成したアカウントにアクセス許可を関連付ける方法を示しています。

    1. CORPDC に CONTOSO\Administrator としてサインインします。

    2. PowerShell を起動し、次のコマンドを実行して、変更内容を確認します。

      Remove-ADGroupMember -identity "CorpAdmins" -Members "Jen"

ユーザーの管理者アカウントでフォレストをまたがるアクセス許可が有効なことを示すためには、次の手順に進みます。

« 手順 5 手順 7 »