다음을 통해 공유

2단계 - 첫 번째 PRIV 도메인 컨트롤러 준비

  • 아티클

« 1단계 3단계 »

이 단계에서는 관리자 인증을 위한 요새 환경을 제공하는 새 도메인을 만듭니다. 이 포리스트에는 하나 이상의 도메인 컨트롤러, 멤버 워크스테이션 및 하나 이상의 멤버 서버가 필요합니다. 멤버 서버는 다음 단계에서 구성됩니다.

새 Privileged Access Management 도메인 컨트롤러 만들기

이 섹션에서는 새 포리스트의 도메인 컨트롤러 역할을 하도록 가상 머신을 설정합니다.

Windows Server 2016 이상 설치

소프트웨어가 설치되지 않은 다른 새 가상 머신에서 Windows Server 2016 이상을 설치하여 컴퓨터를 "PRIVDC"로 만듭니다.

  1. Windows Server의 사용자 지정(업그레이드되지 않음) 설치를 수행하려면 선택합니다. 설치할 때 Windows Server 2016(데스크톱 환경이 있는 서버)을 지정합니다.데이터 센터 또는 Server Core를 선택하지 마세요.

  2. 사용 조건을 검토하고 이에 동의합니다.

  3. 디스크가 비어 있으므로 사용자 지정을 선택합니다 . Windows만 설치하고 초기화되지 않은 디스크 공간을 사용합니다.

  4. 운영 체제 버전을 설치한 후 이 새 컴퓨터에 새 관리자로 로그인합니다. 제어판 사용하여 컴퓨터 이름을 PRIVDC설정합니다. 네트워크 설정에서 가상 네트워크에 고정 IP 주소를 제공하고 DNS 서버를 이전 단계에서 설치한 도메인 컨트롤러의 주소로 구성합니다. 서버를 다시 시작해야 합니다.

  5. 서버를 다시 시작한 후 관리자 권한으로 로그인합니다. 제어판에서 업데이트를 확인하도록 컴퓨터를 구성하고 필요한 업데이트를 설치합니다. 업데이트를 설치하려면 서버를 다시 시작해야 할 수 있습니다.

역할 추가

AD DS(Active Directory 도메인 Services) 및 DNS 서버 역할을 추가합니다.

  1. 관리자 권한으로 PowerShell을 시작합니다.

  2. 다음 명령을 입력하여 Windows Server Active Directory 설치를 준비합니다.

    import-module ServerManager

Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools

SID 기록 마이그레이션에 대한 레지스트리 설정 구성

PowerShell을 시작하고 다음 명령을 입력하여 SAM(보안 계정 관리자) 데이터베이스에 대한 RPC(원격 프로시저 호출) 액세스를 허용하도록 원본 도메인을 구성합니다.

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

새 Privileged Access Management 포리스트 만들기

다음으로 서버를 새 포리스트의 도메인 컨트롤러로 승격합니다.

이 가이드에서는 priv.contoso.local 이름이 새 포리스트의 도메인 이름으로 사용됩니다. 포리스트의 이름은 중요하지 않으며 조직의 기존 포리스트 이름에 종속될 필요가 없습니다. 그러나 새 포리스트의 도메인 및 NetBIOS 이름은 모두 고유해야 하며 조직에 있는 다른 도메인의 경우와 고유해야 합니다.

도메인 및 포리스트 만들기

  1. PowerShell 창에서 다음 명령을 입력하여 새 도메인을 만듭니다. 또한 이러한 명령은 이전 단계에서 만든 우수한 도메인(contoso.local)에 DNS 위임을 만듭니다. 나중에 DNS를 구성하려는 경우 매개 변수를 생략합니다 CreateDNSDelegation -DNSDelegationCredential $ca .

    $ca= get-credential
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca

  2. DNS 위임을 구성하는 팝업이 나타나면 CORP 포리스트 관리자에 대한 자격 증명을 제공합니다. 이 가이드에서는 사용자 이름 CONTOSO\Administrator와 1단계의 해당 암호입니다.

  3. PowerShell 창에서 사용할 안전 모드 관리자 암호를 묻는 메시지가 표시됩니다. 새 암호를 두 번 입력합니다. DNS 위임 및 암호화 설정에 대한 경고 메시지가 표시됩니다. 이는 정상입니다.

포리스트 만들기가 완료되면 서버가 자동으로 다시 시작합니다.

사용자 및 서비스 계정 만들기

MIM 서비스 및 포털 설정에 대한 사용자 및 서비스 계정을 만듭니다. 이러한 계정은 priv.contoso.local 도메인의 사용자 컨테이너로 이동합니다.

  1. 서버가 다시 시작되면 도메인 관리자(PRIV\Administrator)로 PRIVDC에 로그인합니다.

  2. PowerShell을 시작하고 다음 명령을 입력합니다. 암호 'Pass@word1'은 예제일 뿐이며 계정에 다른 암호를 사용해야 합니다.

    import-module activedirectory

$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMMA –name MIMMA

Set-ADAccountPassword –identity MIMMA –NewPassword $sp

Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor

Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp

Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent

Set-ADAccountPassword –identity MIMComponent –NewPassword $sp

Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMSync –name MIMSync

Set-ADAccountPassword –identity MIMSync –NewPassword $sp

Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMService –name MIMService

Set-ADAccountPassword –identity MIMService –NewPassword $sp

Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SharePoint –name SharePoint

Set-ADAccountPassword –identity SharePoint –NewPassword $sp

Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SqlServer –name SqlServer

Set-ADAccountPassword –identity SqlServer –NewPassword $sp

Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName BackupAdmin –name BackupAdmin

Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp

Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1

New-ADUser -SamAccountName MIMAdmin -name MIMAdmin

Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp

Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1

Add-ADGroupMember "Domain Admins" SharePoint

Add-ADGroupMember "Domain Admins" MIMService

감사 및 로그온 권한 구성

포리스트 간에 PAM 구성을 설정하려면 감사를 설정해야 합니다.

  1. 도메인 관리자(PRIV\Administrator)로 로그인했는지 확인합니다.

  2. Windows 관리 도구>그룹 정책 관리 시작>으로 이동합니다.

  3. 포리스트: priv.contoso.local>Domains>priv.contoso.local>도메인 컨트롤러 기본 도메인 컨트롤러>정책으로 이동합니다. 경고 메시지가 나타납니다.

  4. 기본 도메인 컨트롤러 정책을 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.

  5. 그룹 정책 관리 편집기 콘솔 트리에서 컴퓨터 구성>정책>Windows 설정 보안 설정>>로컬 정책 감사 정책>으로 이동합니다.

  6. 세부 정보 창에서 감사 계정 관리를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 이러한 정책 설정 정의를 클릭하고 성공 확인란을 선택하고 실패 확인란을 선택한 다음 적용을 클릭한 다음 확인을 클릭합니다.

  7. 세부 정보 창에서 감사 디렉터리 서비스 액세스를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 이러한 정책 설정 정의를 클릭하고 성공 확인란을 선택하고 실패 확인란을 선택한 다음 적용을 클릭한 다음 확인을 클릭합니다.

  8. 컴퓨터 구성>정책>Windows 설정>보안 설정>계정 정책 Kerberos 정책>으로 이동합니다.

  9. 세부 정보 창에서 사용자 티켓최대 수명을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 이러한 정책 설정 정의를 클릭하고 시간 수를 1설정하고 적용을 클릭한 다음 확인을 클릭합니다. 창의 다른 설정도 변경됩니다.

  10. 그룹 정책 관리 창에서 기본 도메인 정책을 선택하고 마우스 오른쪽 단추를 클릭하고 편집을 선택합니다.

  11. 컴퓨터 구성>정책>Windows 설정 보안 설정>>로컬 정책을 확장하고 사용자 권한 할당을 선택합니다.

  12. 세부 정보 창에서 일괄 작업으로 로그온 거부를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  13. 이러한 정책 설정 정의 확인란을 선택하고 사용자 또는 그룹 추가를 클릭하고 사용자 및 그룹 이름 필드에 priv\mimmonitor; priv\MIMService, priv\mimcomponent를 입력하고 확인을 클릭합니다.

  14. 확인 을 클릭하여 창을 닫습니다.

  15. 세부 정보 창에서 원격 데스크톱 서비스를 통해 로그온 거부를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  16. 이러한 정책 설정 정의 확인란을 클릭하고 사용자 또는 그룹 추가를 클릭하고 사용자 및 그룹 이름 필드에 priv\mimmonitor; priv\MIMService, priv\mimcomponent를 입력하고 확인을 클릭합니다.

  17. 확인 을 클릭하여 창을 닫습니다.

  18. 그룹 정책 관리 편집기 창과 그룹 정책 관리 창을 닫습니다.

  19. 관리자로 PowerShell 창을 시작하고 다음 명령을 입력하여 그룹 정책 설정에서 DC를 업데이트합니다.

    gpupdate /force /target:computer

    잠시 후 "컴퓨터 정책 업데이트가 성공적으로 완료되었습니다"라는 메시지와 함께 완료됩니다.

PRIVDC에서 DNS 이름 전달 구성

PRIVDC에서 PowerShell을 사용하여 PRIV 도메인이 다른 기존 포리스트를 인식하도록 DNS 이름 전달을 구성합니다.

  1. PowerShell을 시작합니다.

  2. 각 기존 포리스트의 맨 위에 있는 각 도메인에 대해 다음 명령을 입력합니다. 이 명령에서 기존 DNS 도메인(예: contoso.local)과 해당 도메인의 기본 DNS 서버의 IP 주소를 지정합니다.

    이전 단계에서 10.1.1.31을 IP 주소로 사용하여 하나의 도메인 contoso.local을 만든 경우 CORPDC 컴퓨터의 가상 네트워크 IP 주소에 대해 10.1.1.31을 지정합니다.

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31

참고 항목

다른 포리스트는 PRIV 포리스트에 대한 DNS 쿼리를 이 도메인 컨트롤러로 라우팅할 수도 있어야 합니다. 기존 Active Directory 포리스트가 여러 개 있는 경우 각 포리스트에 DNS 조건부 전달자를 추가해야 합니다.

Kerberos 구성

  1. PowerShell을 사용하여 SharePoint, PAM REST API 및 MIM 서비스에서 Kerberos 인증을 사용할 수 있도록 SPN을 추가합니다.

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
setspn -S http/pamsrv PRIV\SharePoint
setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
setspn -S FIMService/pamsrv PRIV\MIMService

참고 항목

이 문서의 다음 단계에서는 단일 컴퓨터에 MIM 2016 서버 구성 요소를 설치하는 방법을 설명합니다. 고가용성을 위해 다른 서버를 추가하려는 경우 FIM 2010: Kerberos 인증 설정설명된 대로 추가 Kerberos 구성이 필요합니다.

MIM 서비스 계정에 액세스 권한을 부여하도록 위임 구성

도메인 관리자 권한으로 PRIVDC에서 다음 단계를 수행합니다.

  1. Active Directory 사용자 및 컴퓨터를 시작합니다.

  2. domain priv.contoso.local을 마우스 오른쪽 단추로 클릭하고 대리자 컨트롤을 선택합니다.

  3. 선택한 사용자 및 그룹 탭에서 추가를 클릭합니다.

  4. 사용자, 컴퓨터 또는 그룹 선택 창에서 이름 확인을 입력 mimcomponent; mimmonitor; mimservice 하고 클릭합니다. 이름에 밑줄이 그어지면 [확인], [다음]을 차례로 클릭합니다.

  5. 일반적인 작업 목록에서 사용자 계정 만들기, 삭제 및 관리를 선택하고 그룹의 멤버 자격을 수정한 다음 다음 완료를 클릭합니다.

  6. 다시 도메인 priv.contoso.local을 마우스 오른쪽 단추로 클릭하고 대리자 컨트롤을 선택합니다.

  7. 선택한 사용자 및 그룹 탭에서 추가를 클릭합니다.

  8. 사용자, 컴퓨터 또는 그룹 선택 창에서 MIMAdmin을 입력하고 이름 확인을 클릭합니다. 이름에 밑줄이 그어지면 [확인], [다음]을 차례로 클릭합니다.

  9. 사용자 지정 작업을 선택하고 일반 권한으로 이 폴더적용합니다.

  10. 사용 권한 목록에서 다음 권한을 선택합니다.

    • 읽음
    • 쓰기
    • 모든 자식 개체 만들기
    • 모든 자식 개체 삭제
    • 모든 속성 읽기
    • 모든 속성 쓰기
    • SID 기록 마이그레이션

  11. 다음을 클릭한 다음 마침을 클릭합니다.

  12. 다시 한 번 도메인 priv.contoso.local을 마우스 오른쪽 단추로 클릭하고 대리자 컨트롤을 선택합니다.

  13. 선택한 사용자 및 그룹 탭에서 추가를 클릭합니다.

  14. 사용자, 컴퓨터 또는 그룹 선택 창에서 MIMAdmin을 입력한 다음 이름 확인을 클릭합니다. 이름에 밑줄이 그어지면 [확인], [다음]을 차례로 클릭합니다.

  15. 사용자 지정 작업을 선택하고 이 폴더적용한 다음 사용자 개체만 클릭합니다.

  16. 사용 권한 목록에서 암호 변경 및 암호 재설정을 선택합니다. 그런 다음, 다음을 클릭한 다음 마침을 클릭합니다.

  17. Active Directory 사용자 및 컴퓨터를 닫습니다.

  18. 명령 프롬프트가 엽니다.

  19. PRIV 도메인의 Admin SD Holder 개체에서 액세스 제어 목록을 검토합니다. 예를 들어 도메인이 "priv.contoso.local"인 경우 다음 명령을 입력합니다.

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"

  20. 필요에 따라 액세스 제어 목록을 업데이트하여 MIM 서비스 및 MIM PAM 구성 요소 서비스가 이 ACL로 보호되는 그룹의 멤버 자격을 업데이트할 수 있도록 합니다. 다음 명령을 입력합니다.

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"

Windows Server 2016에서 PAM 구성

다음으로 MIM 관리자 및 MIM 서비스 계정에 섀도 보안 주체를 만들고 업데이트할 권한을 부여합니다.

  1. Windows Server 2016 Active Directory에서 Privileged Access Management 기능을 사용하도록 설정하면 PRIV 포리스트에 존재하고 사용하도록 설정됩니다. 관리자 권한으로 PowerShell 창을 시작하고 다음 명령을 입력합니다.

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"

  2. PowerShell 창을 시작하고 ADSIEdit를 입력합니다.

  3. 작업 메뉴를 열고 "연결"을 클릭합니다. 연결점 설정에서 명명 컨텍스트를 "기본 명명 컨텍스트"에서 "구성"으로 변경하고 확인을 클릭합니다.

  4. 연결한 후 "ADSI 편집" 아래 창의 왼쪽에서 구성 노드를 확장하여 "CN=Configuration,DC=priv,...."을 표시합니다. CN=Configuration을 확장한 다음 CN=Services를 확장합니다.

  5. "CN=Shadow Principal Configuration"을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다. 속성 대화 상자가 나타나면 보안 탭으로 변경합니다.

  6. 추가를 클릭합니다. 나중에 New-PAMGroup을 수행하여 추가 PAM 그룹을 만들 다른 MIM 관리자뿐만 아니라 "MIMService" 계정을 지정합니다. 각 사용자에 대해 허용되는 사용 권한 목록에서 "쓰기", "모든 자식 개체 만들기" 및 "모든 자식 개체 삭제"를 추가합니다. 사용 권한을 추가합니다.

  7. 고급 보안 설정으로 변경합니다. MIMService 액세스를 허용하는 줄에서 편집을 클릭합니다. "적용 대상" 설정을 "이 개체 및 모든 하위 개체"로 변경합니다. 이 권한 설정을 업데이트하고 보안 대화 상자를 닫습니다.

  8. ADSI 편집을 닫습니다.

  9. 다음으로, MIM 관리자에게 인증 정책을 만들고 업데이트할 권한을 부여합니다. 관리자 권한 명령 프롬프트 를 시작하고 다음 명령을 입력하여 네 줄 각각에 "mimadmin"에 대한 MIM 관리자 계정의 이름을 대체합니다.

    dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s

dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo

  10. 이러한 변경 내용이 적용되도록 PRIVDC 서버를 다시 시작합니다.

PRIV 워크스테이션 준비

다음 지침에 따라 워크스테이션을 준비합니다. 이 워크스테이션은 PRIV 리소스(예: MIM)의 유지 관리를 수행하기 위해 PRIV 도메인에 조인됩니다.

Windows 10 Enterprise 설치

소프트웨어가 설치되지 않은 다른 새 가상 머신에서 Windows 10 Enterprise를 설치하여 컴퓨터를 "PRIVWKSTN"으로 만듭니다.

  1. 설치하는 동안 기본 설정을 사용합니다.

  2. 설치할 때 인터넷에 연결하지 못할 수도 있습니다. 로컬 계정을 만들려면 클릭합니다. 다른 사용자 이름을 지정합니다. "Administrator"나 "Jen"은 사용하지 마세요.

  3. 제어판 사용하여 이 컴퓨터에 가상 네트워크에서 고정 IP 주소를 제공하고 인터페이스의 기본 DNS 서버를 PRIVDC 서버의 IP 주소로 설정합니다.

  4. 제어판 사용하여 도메인은 PRIVWKSTN 컴퓨터를 priv.contoso.local 도메인에 가입합니다. 이 단계에서는 PRIV 도메인 관리자 자격 증명을 제공해야 합니다. 이 작업이 완료되면 컴퓨터 PRIVWKSTN을 다시 시작합니다.

  5. 64비트 Windows용 Visual C++ 2013 재배포 가능 패키지를 설치합니다.

자세한 내용은 권한 있는 액세스 워크스테이션 보안을 참조 하세요.

다음 단계에서는 PAM 서버를 준비합니다.

« 1단계 3단계 »