Delen via

Stap 2: de eerste PRIV-domeincontroller voorbereiden

  • Artikel

« Stap 1, stap 3 »

In deze stap maakt u een nieuw domein dat de bastionomgeving biedt voor beheerdersverificatie. Dit forest heeft ten minste één domeincontroller, een lidwerkstation en ten minste één lidserver nodig. De lidserver wordt geconfigureerd in de volgende stap.

Een nieuwe Privileged Access Management-domeincontroller maken

In deze sectie stelt u een virtuele machine in om te fungeren als een domeincontroller voor een nieuw forest.

Windows Server 2016 of hoger installeren

Installeer Windows Server 2016 of hoger op een andere nieuwe virtuele machine waarop geen software is geïnstalleerd om een computer PRIVDC te maken.

  1. Selecteer deze optie om een aangepaste installatie (geen upgrade) van Windows Server uit te voeren. Geef bij de installatie Windows Server 2016 (Server met Bureaubladervaring) op; selecteer geen datacentrum of Server Core.

  2. Bekijk en accepteer de licentievoorwaarden.

  3. Omdat de schijf leeg is, selecteert u Aangepast: Alleen Windows installeren en de niet-geïnitialiseerde schijfruimte gebruiken.

  4. Nadat u de versie van het besturingssysteem hebt geïnstalleerd, meldt u zich als nieuwe beheerder aan bij deze nieuwe computer. Gebruik Configuratiescherm om de computernaam in te stellen op PRIVDC. Geef het in de netwerkinstellingen een statisch IP-adres op het virtuele netwerk en configureer de DNS-server op die van de domeincontroller die in de vorige stap is geïnstalleerd. U moet de server opnieuw opstarten.

  5. Nadat de server opnieuw is opgestart, meldt u zich aan als de beheerder. Met Configuratiescherm configureert u de computer om te controleren op updates en installeert u eventuele benodigde updates. Voor het installeren van updates moet de server mogelijk opnieuw worden opgestart.

Rollen toevoegen

Voeg de functies Active Directory-domein Services (AD DS) en DNS-server toe.

  1. Start PowerShell als beheerder.

  2. Typ de volgende opdrachten om u voor te bereiden op een Windows Server Active Directory-installatie.

    import-module ServerManager

Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools

Registerinstellingen configureren voor migratie van SID-geschiedenis

Start PowerShell en typ de volgende opdracht om het brondomein te configureren om RPC-toegang (Remote Procedure Call) tot de SAM-database (Security Accounts Manager) toe te laten.

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Een nieuw Privileged Access Management-forest maken

Vervolgens promovordert u de server naar een domeincontroller van een nieuw forest.

In deze handleiding wordt de naam priv.contoso.local gebruikt als de domeinnaam van het nieuwe forest. De naam van het forest is niet kritiek en hoeft niet ondergeschikt te zijn aan een bestaande forestnaam in de organisatie. Zowel de domein- als netBIOS-namen van het nieuwe forest moeten echter uniek zijn en verschillen van die van elk ander domein in de organisatie.

Een domein en forest maken

  1. Typ in een PowerShell-venster de volgende opdrachten om het nieuwe domein te maken. Met deze opdrachten wordt ook een DNS-delegering gemaakt in een superior domein (contoso.local), dat in een vorige stap is gemaakt. Als u dns later wilt configureren, laat u de CreateDNSDelegation -DNSDelegationCredential $ca parameters weg.

    $ca= get-credential
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca

  2. Wanneer de pop-up wordt weergegeven om DNS-delegering te configureren, geeft u de referenties op voor de CORP-forestbeheerder, die in deze handleiding de gebruikersnaam CONTOSO\Administrator was en het bijbehorende wachtwoord uit stap 1.

  3. In het PowerShell-venster wordt u gevraagd om een beheerderswachtwoord voor de veilige modus te gebruiken. Voer twee keer een nieuw wachtwoord in. Waarschuwingsberichten voor DNS-delegering en cryptografie-instellingen worden weergegeven; dit zijn normaal.

Nadat het maken van het forest is voltooid, wordt de server automatisch opnieuw opgestart.

Gebruikers- en serviceaccounts maken

Maak de gebruikers- en serviceaccounts voor de installatie van de MIM-service en -portal. Deze accounts worden weergegeven in de container Gebruikers van het domein priv.contoso.local.

  1. Nadat de server opnieuw is opgestart, meldt u zich als domeinbeheerder (PRIV\Administrator) aan bij PRIVDC.

  2. Start PowerShell en typ de volgende opdrachten. Het wachtwoord 'Pass@word1' is slechts een voorbeeld en u moet een ander wachtwoord voor de accounts gebruiken.

    import-module activedirectory

$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMMA –name MIMMA

Set-ADAccountPassword –identity MIMMA –NewPassword $sp

Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor

Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp

Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent

Set-ADAccountPassword –identity MIMComponent –NewPassword $sp

Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMSync –name MIMSync

Set-ADAccountPassword –identity MIMSync –NewPassword $sp

Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMService –name MIMService

Set-ADAccountPassword –identity MIMService –NewPassword $sp

Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SharePoint –name SharePoint

Set-ADAccountPassword –identity SharePoint –NewPassword $sp

Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SqlServer –name SqlServer

Set-ADAccountPassword –identity SqlServer –NewPassword $sp

Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName BackupAdmin –name BackupAdmin

Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp

Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1

New-ADUser -SamAccountName MIMAdmin -name MIMAdmin

Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp

Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1

Add-ADGroupMember "Domain Admins" SharePoint

Add-ADGroupMember "Domain Admins" MIMService

Controle- en aanmeldingsrechten configureren

U moet controle instellen om de PAM-configuratie tot stand te brengen in forests.

  1. Zorg ervoor dat u bent aangemeld als domeinbeheerder (PRIV\Administrator).

  2. Ga naar Groepsbeleidsbeheer> voor Windows-beheerprogramma's>starten.

  3. Navigeer naar Forest: priv.contoso.local>Domains>priv.contoso.local>Domain Controllers Default Domain Controllers>Policy. Er wordt een waarschuwingsbericht weergegeven.

  4. Klik met de rechtermuisknop op het standaardbeleid voor domeincontrollers en selecteer Bewerken.

  5. Navigeer in de consolestructuur van de Editor groepsbeleidsbeheer naar Computerconfiguratiebeleid>>Windows-instellingen>Beveiligingsinstellingen>Lokaal beleid>controlebeleid.

  6. Klik in het deelvenster Details met de rechtermuisknop op Accountbeheer controleren en selecteer Eigenschappen. Klik op Deze beleidsinstellingen definiëren, schakel het selectievakje Geslaagd in, schakel het selectievakje Fout in, klik op Toepassen en klik vervolgens op OK.

  7. Klik in het deelvenster Details met de rechtermuisknop op Toegang tot directoryservice controleren en selecteer Eigenschappen. Klik op Deze beleidsinstellingen definiëren, schakel het selectievakje Geslaagd in, schakel het selectievakje Fout in, klik op Toepassen en klik vervolgens op OK.

  8. Navigeer naar Computerconfiguratiebeleid>>Windows-instellingen>Beveiligingsinstellingen>Accountbeleid>Kerberos-beleid.

  9. Klik in het deelvenster Details met de rechtermuisknop op Maximale levensduur voor gebruikerstickets en selecteer Eigenschappen. Klik op Deze beleidsinstellingen definiëren, stel het aantal uren in op 1, klik op Toepassen en vervolgens op OK. Houd er rekening mee dat andere instellingen in het venster ook worden gewijzigd.

  10. Selecteer in het venster Groepsbeleidsbeheer de optie Standaarddomeinbeleid, klik met de rechtermuisknop en selecteer Bewerken.

  11. Vouw Computerconfiguratiebeleid>>Windows-instellingen>beveiligingsinstellingen>lokaal beleid uit en selecteer Toewijzing van gebruikersrechten.

  12. Klik in het deelvenster Details met de rechtermuisknop op Aanmelden weigeren als een batchtaak en selecteer Eigenschappen.

  13. Schakel het selectievakje Deze beleidsinstellingen definiëren in, klik op Gebruiker of groep toevoegen en typ in het veld Gebruikers- en groepsnamen priv\mimmonitor; priv\MIMService; priv\mimcomponent en klik op OK.

  14. Klik op OK om het venster te sluiten.

  15. Klik in het deelvenster Details met de rechtermuisknop op Aanmelden weigeren via Extern bureaublad-services en selecteer Eigenschappen.

  16. Klik op het selectievakje Deze beleidsinstellingen definiëren, klik op Gebruiker of groep toevoegen en typ in het veld Gebruikers- en groepsnamen priv\mimmonitor; priv\MIMService; priv\mimcomponent en klik op OK.

  17. Klik op OK om het venster te sluiten.

  18. Sluit het venster Editor voor groepsbeleidsbeheer en het venster Groepsbeleidsbeheer.

  19. Start een PowerShell-venster als beheerder en typ de volgende opdracht om de DC bij te werken vanuit de groepsbeleidsinstellingen.

    gpupdate /force /target:computer

    Na een minuut wordt het bericht 'Computerbeleid bijgewerkt is voltooid'.

Dns-naam doorsturen configureren op PRIVDC

Configureer met Behulp van PowerShell op PRIVDC dns-naam doorsturen om het PRIV-domein andere bestaande forests te herkennen.

  1. Start PowerShell.

  2. Typ de volgende opdracht voor elk domein boven aan elk bestaand forest. Geef in deze opdracht het bestaande DNS-domein (zoals contoso.local) en de IP-adressen van de primaire DNS-servers van dat domein op.

    Als u in de vorige stap één domein contoso.local hebt gemaakt met 10.1.1.31 als IP-adres, geeft u vervolgens 10.1.1.31 op voor het IP-adres van het virtuele netwerk van de CORPDC-computer.

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31

Notitie

De andere forests moeten ook DNS-query's voor het PRIV-forest naar deze domeincontroller kunnen routeren. Als u meerdere bestaande Active Directory-forests hebt, moet u ook een voorwaardelijke DNS-doorstuurserver toevoegen aan elk van deze forests.

Kerberos configureren

  1. Voeg met Behulp van PowerShell SPN's toe, zodat SharePoint, PAM REST API en de MIM-service Kerberos-verificatie kunnen gebruiken.

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
setspn -S http/pamsrv PRIV\SharePoint
setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
setspn -S FIMService/pamsrv PRIV\MIMService

Notitie

In de volgende stappen van dit document wordt beschreven hoe u MIM 2016-serveronderdelen op één computer installeert. Als u van plan bent een andere server toe te voegen voor hoge beschikbaarheid, hebt u aanvullende Kerberos-configuratie nodig, zoals beschreven in FIM 2010: Kerberos Authentication Setup.

Delegatie configureren om MIM-serviceaccounts toegang te geven

Voer de volgende stappen uit op PRIVDC als domeinbeheerder.

  1. Start Active Directory.

  2. Klik met de rechtermuisknop op het domein priv.contoso.local en selecteer Beheer delegeren.

  3. Klik op het tabblad Geselecteerde gebruikers en groepen op Toevoegen.

  4. Typ en klik in het venster mimcomponent; mimmonitor; mimservice Gebruikers, computers of groepen selecteren op Namen controleren. Nadat de namen zijn onderstreept, klikt u op OK en vervolgens op Volgende.

  5. Selecteer in de lijst met algemene taken de optie Gebruikersaccounts maken, verwijderen en beheren en wijzig het lidmaatschap van een groep en klik vervolgens op Volgende en Voltooien.

  6. Klik opnieuw met de rechtermuisknop op domein priv.contoso.local en selecteer Beheer delegeren.

  7. Klik op het tabblad Geselecteerde gebruikers en groepen op Toevoegen.

  8. Voer in het venster Gebruikers, Computers of Groepen selecteren MIMAdmin in en klik op Namen controleren. Nadat de namen zijn onderstreept, klikt u op OK en vervolgens op Volgende.

  9. Selecteer aangepaste taak, pas deze toe op deze map, met algemene machtigingen.

  10. Selecteer de volgende machtigingen in de lijst met machtigingen:

    • Lezen
    • Schrijven
    • Alle onderliggende objecten maken
    • Alle onderliggende objecten verwijderen
    • Alle eigenschappen lezen
    • Alle eigenschappen schrijven
    • SID-geschiedenis migreren

  11. Klik op Volgende en vervolgens op Voltooien.

  12. Klik nogmaals met de rechtermuisknop op het domein priv.contoso.local en selecteer Beheer delegeren.

  13. Klik op het tabblad Geselecteerde gebruikers en groepen op Toevoegen.

  14. Voer in het venster Gebruikers, Computers of Groepen selecteren MIMAdmin in en klik vervolgens op Namen controleren. Nadat de namen zijn onderstreept, klikt u op OK en vervolgens op Volgende.

  15. Selecteer aangepaste taak, pas deze map toe en klik op alleen gebruikersobjecten.

  16. Selecteer In de lijst met machtigingen het wachtwoord wijzigen en wachtwoord opnieuw instellen. Klik vervolgens op Volgende en vervolgens op Voltooien.

  17. Sluit Active Directory - gebruikers en computers.

  18. Open een opdrachtprompt.

  19. Controleer de toegangsbeheerlijst op het object Admin SD Holder in de PRIV-domeinen. Als uw domein bijvoorbeeld priv.contoso.local was, typt u de opdracht:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"

  20. Werk zo nodig de toegangsbeheerlijst bij om ervoor te zorgen dat de MIM-service en de MIM PAM-onderdeelservice lidmaatschappen kunnen bijwerken van groepen die door deze ACL worden beveiligd. Typ de opdracht:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"

PAM configureren in Windows Server 2016

Geef vervolgens de MIM-beheerders en het MIM-serviceaccount toestemming om schaduw-principals te maken en bij te werken.

  1. Schakel de functies voor Privileged Access Management in Windows Server 2016 Active Directory in en zijn ingeschakeld in het PRIV-forest. Start een PowerShell-venster als beheerder en typ de volgende opdrachten.

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"

  2. Start een PowerShell-venster en typ ADSIEdit.

  3. Open het menu Acties en klik op Verbinding maken met. Wijzig in de instelling van het verbindingspunt de naamgevingscontext van 'Standaardnaamgevingscontext' in 'Configuratie' en klik op OK.

  4. Nadat u verbinding hebt gemaakt, vouwt u aan de linkerkant van het venster onder ADSI Edit het configuratieknooppunt uit om 'CN=Configuration,DC=priv,....' te zien. Vouw CN=Configuration uit en vouw CN=Services uit.

  5. Klik met de rechtermuisknop op CN=Shadow Principal Configuration en klik op Eigenschappen. Wanneer het dialoogvenster Eigenschappen wordt weergegeven, gaat u naar het tabblad Beveiliging.

  6. Klik op Toevoegen. Geef de accounts 'MIMService' op, evenals andere MIM-beheerders die later New-PAMGroup uitvoeren om extra PAM-groepen te maken. Voeg voor elke gebruiker in de lijst met toegestane machtigingen 'Schrijven', 'Alle onderliggende objecten maken' en 'Alle onderliggende objecten verwijderen' toe. Voeg de machtigingen toe.

  7. Ga naar Geavanceerde beveiligingsinstellingen. Klik op Bewerken op de regel die MIMService-toegang toestaat. Wijzig de instelling 'Van toepassing op' in 'op dit object en alle onderliggende objecten'. Werk deze machtigingsinstelling bij en sluit het beveiligingsdialoogvenster.

  8. Sluit ADSI bewerken.

  9. Geef vervolgens de MIM-beheerders toestemming om verificatiebeleid te maken en bij te werken. Start een opdrachtprompt met verhoogde bevoegdheid en typ de volgende opdrachten, waarbij u de naam van uw MIM-beheerdersaccount vervangt door mimadmin in elk van de vier regels:

    dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s

dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo

  10. Start de PRIVDC-server opnieuw op zodat deze wijzigingen van kracht worden.

Een PRIV-werkstation voorbereiden

Volg deze instructies om een werkstation voor te bereiden. Dit werkstation wordt toegevoegd aan het PRIV-domein voor het uitvoeren van onderhoud van PRIV-resources (zoals MIM).

Windows 10 Enterprise installeren

Installeer Windows 10 Enterprise op een andere nieuwe virtuele machine waarop geen software is geïnstalleerd om een computer PRIVWKSTN te maken.

  1. Gebruik Express-instellingen tijdens de installatie.

  2. Houd er rekening mee dat de installatie mogelijk geen verbinding kan maken met internet. Klik hier om een lokaal account te maken. Geef een andere gebruikersnaam op; gebruik geen 'Administrator' of 'Jen'.

  3. Geef met behulp van de Configuratiescherm deze computer een statisch IP-adres op het virtuele netwerk en stel de voorkeurs-DNS-server van de interface in op die van de PRIVDC-server.

  4. Met behulp van de Configuratiescherm voegt u de PRIVWKSTN-computer toe aan het domein priv.contoso.local. Voor deze stap moet u de referenties van de PRIV-domeinbeheerder opgeven. Wanneer dit is voltooid, start u de computer PRIVWKSTN opnieuw op.

  5. Installeer de Herdistribueerbare Pakketten van Visual C++ 2013 voor 64-bits Windows.

Als u meer informatie wilt, raadpleegt u het beveiligen van werkstations voor bevoegde toegang.

In de volgende stap bereidt u een PAM-server voor.

« Stap 1, stap 3 »