Stap 1: de host en het domein CORP voorbereiden
In deze stap bereidt u zich voor op het hosten van de omgeving die wordt beheerd door PAM. Indien nodig maakt u ook een domeincontroller en een lidwerkstation in een nieuw domein en forest (het CORP-forest ). Toegang tot dat forest is van identiteiten die worden beheerd door de bastionomgeving, met een PRIV-forest , dat in de volgende stap wordt gemaakt. Dit CORP-forest komt overeen met een bestaand forest dat resources heeft om te worden beheerd. Dit document bevat een voorbeeldresource die moet worden beveiligd; een bestandsshare.
Als u al een bestaand Active Directory-domein (AD) hebt met een domeincontroller waarop Windows Server 2012 R2 of hoger wordt uitgevoerd, waarbij u een domeinbeheerder bent, kunt u dat domein in plaats daarvan gebruiken en doorgaan naar de sectie Een groep maken in dit artikel.
De CORP-domeincontroller voorbereiden
In dit gedeelte wordt beschreven hoe u een domeincontroller voor een CORP-domein instelt. In het CORP-domein worden de gebruikers met beheerdersrechten beheerd door de bastionomgeving. De naam van de Domain Name System (DNS) van het CORP-domein dat in dit voorbeeld wordt gebruikt is contoso.local.
Windows Server installeren
Installeer Windows Server 2016 of hoger op een virtuele machine om een computer met de naam CORPDC te maken.
Kies Windows Server 2016 (Server met bureaubladervaring).
Lees en accepteer de licentievoorwaarden.
Omdat de schijf leeg is, selecteert u Aangepast: Alleen Windows installeren en gebruikt u de niet-geïnitialiseerde schijfruimte.
Meld u als beheerder aan bij deze nieuwe computer. Ga naar Configuratiescherm. Stel de naam van de computer in op CORPDC, en wijs hieraan een statisch IP-adres op het virtuele netwerk toe. Start de server opnieuw.
Nadat de server opnieuw is opgestart, moet u zich aanmelden als een beheerder. Ga naar Configuratiescherm. Configureer de computer om te controleren op updates en installeer alle vereiste updates. Start de server opnieuw.
Functies toevoegen voor het maken van een domeincontroller
In deze sectie stelt u de nieuwe Windows Server in om een domeincontroller te worden. U voegt de rollen Active Directory Domain Services (AD DS), DNS-server en bestandsserver (onderdeel van de sectie Bestands- en opslagservices) toe en promoveert deze server naar een domeincontroller van een nieuw forest contoso.local.
Notitie
Als u al een domein hebt dat moet worden gebruikt als uw CORP-domein en dat domein Windows Server 2012 R2 of hoger als het functionele domeinniveau gebruikt, kunt u doorgaan naar Extra gebruikers en groepen maken voor demonstratiedoeleinden.
Start PowerShell terwijl u aangemeld bent als beheerder.
Typ de volgende opdrachten:
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetworkHierdoor wordt u gevraagd een beheerderswachtwoord voor de veilige modus op te geven. Houd er rekening mee dat waarschuwingsberichten voor DNS-delegatie- en cryptografie-instellingen worden weergegeven. Dit is normaal.
Nadat het maken van het forest is voltooid, meldt u zich af. De server wordt automatisch opnieuw opgestart.
Wanneer de server opnieuw is opgestart, meldt u zich aan bij CORPDC als beheerder van het domein. Dit is doorgaans de gebruiker CONTOSO\Administrator, die het wachtwoord heeft dat is gemaakt toen u Windows op CORPDC installeerde.
Updates installeren (alleen Windows Server 2012 R2)
- Als u Windows Server 2012 R2 gebruikt als het besturingssysteem voor CORPDC, moet u de hotfixes 2919442 en 2919355 installeren en 3155495 bijwerken op CORPDC.
Een groep maken
Een groep maken voor controledoeleinden door Active Directory, als deze groep nog niet bestaat. De naam van de groep moet de NetBIOS-domeinnaam zijn, gevolgd door drie dollartekens, bijvoorbeeld CONTOSO$$$.
Meld u bij elk domein aan bij een domeincontroller als een domeinbeheerder en voer de volgende stappen uit:
Start PowerShell.
Typ de volgende opdrachten, maar vervang 'CONTOSO' door de NetBIOS-naam van uw domein.
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
In sommige gevallen kan deze groep al bestaan. Dit normaal als het domein ook in AD-migratiescenario's is gebruikt.
Extra gebruikers en groepen maken voor demonstratiedoeleinden
Als u een nieuw CORP-domein hebt gemaakt, moet u vervolgens extra gebruikers en groepen maken om het PAM-scenario te kunnen demonstreren. De gebruiker en groep voor demonstratiedoeleinden mogen geen domeinbeheerders zijn of worden beheerd door de instellingen van de adminSDHolder in AD.
Notitie
Als u al een domein hebt dat u gaat gebruiken als het CORP-domein en het een gebruiker en een groep heeft die u kunt gebruiken voor demonstratiedoeleinden, kunt u doorgaan naar de sectie Controle configureren.
Maak een beveiligingsgroep met de naam CorpAdmins en een gebruiker met de naam Jen. U kunt andere namen gebruiken als u wenst. Als u al een bestaande gebruiker hebt, bijvoorbeeld met een smartcard, hoeft u geen nieuwe gebruiker te maken.
Start PowerShell.
Typ de volgende opdrachten: Vervang het wachtwoord 'Pass@word1' door een andere wachtwoordtekenreeks.
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
Controle configureren
U moet controle van bestaande forests inschakelen om de PAM-configuratie op die forests tot stand te brengen.
Meld u bij elk domein aan bij een domeincontroller als een domeinbeheerder en voer de volgende stappen uit:
Ga naar Start>Windows-systeembeheer en start groepsbeleid Beheer.
Navigeer naar het beleid voor domeincontrollers voor dit domein. Als u een nieuw domein voor contoso.local hebt gemaakt, gaat u naar Forest: contoso.local>Domains>contoso.local>Domain Controllers>Default Domain Controllers Policy. Een informatief bericht wordt weergegeven.
Klik met de rechtermuisknop op Standaardbeleid voor domeincontrollers en selecteer Bewerken. Een nieuw venster wordt weergegeven.
Ga in het venster groepsbeleid Beheereditor onder de structuur Standaardbeleid voor domeincontrollers naar Computerconfiguratiebeleid>>Windows-instellingen>Beveiligingsinstellingen>Lokaal beleid>Controlebeleid.
Klik in het detailvenster met de rechtermuisknop op Accountbeheer controleren en selecteer Eigenschappen. Selecteer Deze beleidsinstellingen vastleggen, schakel achtereenvolgens de selectievakjes Geslaagd en Mislukt in, klik op Toepassen en tenslotte op OK.
Klik in het detailvenster met de rechtermuisknop op Directoryservicetoegang controleren en selecteer Eigenschappen. Selecteer Deze beleidsinstellingen vastleggen, schakel achtereenvolgens de selectievakjes Geslaagd en Mislukt in, klik op Toepassen en tenslotte op OK.
Sluit het venster Groepsbeleidsbeheer-editor en het venster Groepsbeleidsbeheer.
Pas de controle-instellingen toe door een PowerShell-venster te starten en het volgende te typen:
gpupdate /force /target:computer
Het bericht Het bijwerken van het computerbeleid is voltooid zou na een paar minuten moeten worden weergegeven.
Registerinstellingen configureren
In deze sectie configureert u de registerinstellingen die nodig zijn voor de migratie van sID-geschiedenis, die wordt gebruikt voor het maken van Privileged Access Management-groepen.
Start PowerShell.
Typ de volgende opdrachten voor het configureren van het brondomein om externe procedureaanroep (Remote Procedure Call, RPC) toegang te verlenen tot de database voor beveiligingsaccountbeheer (Security Accounts Manager, SAM).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
Hierdoor wordt de domeincontroller opnieuw gestart. Zie voor meer informatie over deze registerinstelling How to troubleshoot inter-forest sIDHistory migration with ADMTv2 (Problemen oplossen met sIDHistory-migratie met ADMTv2 tussen forests).
Een CORP-resource voorbereiden voor demonstratiedoeleinden
U hebt ten minste één resource in het domein nodig om het op een beveiligingsgroep gebaseerde toegangsbeheer met PAM te demonstreren. Als u nog geen resource hebt, kunt u een bestandsmap gebruiken op een server die is gekoppeld aan het CORP-domein voor demonstratiedoeleinden. Dit maakt gebruik van de AD-objecten 'Jen' en 'CorpAdmins' die u hebt gemaakt in het domein contoso.local.
Maak verbinding met de server als beheerder.
Maak een nieuwe map met de naam CorpFS en deel deze met de groep CorpAdmins. Open PowerShell als beheerder en typ de volgende opdrachten.
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $aclOmdat de PRIV-gebruiker verbinding maakt met deze server vanuit een ander forest, moet u mogelijk de firewallconfiguratie op deze server wijzigen, zodat de computer van de gebruiker verbinding kan maken met deze server.
In de volgende stap bereidt u de PRIV-domeincontroller voor.