Delen via

Stap 7 – De toegangsrechten van een gebruiker uitbreiden

  • Artikel

« Stap 6

In deze stap wordt gedemonstreerd dat een gebruiker via MIM toegang tot een functie kan aanvragen.

Controleren of de toegang tot de resource is beperkt

Zonder verhoogde bevoegdheden heeft het account van Jen geen toegang tot de bevoegde resource in het CORP-forest.

  1. Laat Jen zich afmelden bij alle computers om eventuele in de cache opgeslagen open verbindingen te verwijderen.
  2. Meld u aan bij PRIVWKSTN.
  3. Open een DOS-opdrachtprompt.
  4. Typ de opdracht waarvoor de gebruiker een beveiligingsgroepslidmaatschap moet hebben. Als de beveiligingsgroep bijvoorbeeld de mogelijkheid beveiligt om een bestandsshare corpfs op de CORPDC-computer te gebruiken, typt dir \\corpdc\corpfsu . Als het goed is, wordt het foutbericht De toegang is geweigerd weergegeven.
  5. Houd het opdrachtpromptvenster geopend.

Bevoegde toegang aanvragen bij MIM

Notitie

Het wordt aanbevolen dat het werkstation een bevoegd werkstation (PAW) is. Zie de richtlijnen voor het beveiligen van apparaten voor meer informatie.

  1. Meld u op PRIVWKSTN aan als PRIV\priv.jen.

  2. Start PowerShell.

  3. Typ de volgende opdracht.

    runas /user:Priv.Jen@priv.contoso.local powershell

  4. Wanneer u hierom wordt gevraagd, typt u het wachtwoord voor het PRIV.Jen account. Er wordt een nieuw opdrachtpromptvenster weergegeven.

  5. Typ de volgende opdrachten wanneer het PowerShell-venster wordt weergegeven.

    Notitie

    Nadat u deze opdrachten uitgevoerd, zijn de volgende stappen tijdgebonden.

    Import-module MIMPAM
$r = Get-PAMRoleForRequest | ? { $_.DisplayName –eq "CorpAdmins" }
New-PAMRequest –role $r
klist purge

  6. Sluit het PowerShell-venster nadat de stappen zijn voltooid.

  7. Typ in het opdrachtvenster de volgende opdracht:

    runas /user:Priv.Jen@priv.contoso.local powershell

  8. Typ het wachtwoord voor het PRIV.Jen account. Er wordt een nieuw opdrachtpromptvenster weergegeven.

  9. Controleer of de gebruiker nieuwe groepslidmaatschappen heeft opgegeven door de verhoogde toegang in het zojuist geopende venster. Typ de volgende opdracht.

    whoami /groups

  10. Typ vervolgens de opdracht waarvan eerder in de stap is aangetoond dat deze is geblokkeerd vanwege een gebrek aan toegang. Als de resource bijvoorbeeld een bestandsshare corpfsis, typt u de volgende opdracht.

    dir \\corpdc\corpfs

    Als de opdracht dir mislukt met het foutbericht Toegang wordt geweigerd, controleert u de vertrouwensrelatie opnieuw.

Samenvatting

Nu u dit scenario hebt voltooid, hebt u een Privileged Access Management-scenario gedemonstreerd. In dit scenario zijn gebruikersbevoegdheden gedurende een beperkte periode verhoogd, zodat de gebruiker toegang heeft tot beveiligde resources met een afzonderlijk bevoegd account. Zodra de sessie voor uitbreiding van de toegangsrechten is verlopen, is de beveiligde resource niet meer toegankelijk met het bevoorrechte account. Nadat u vervolgens toegangsrechten hebt gemigreerd naar het Privileged Access Management-systeem, is toegang die permanent beschikbaar was voor het oorspronkelijke gebruikersaccount, alleen mogelijk voor speciale accounts op verzoek. Als gevolg hiervan zijn groepslidmaatschappen voor groepen met hoge bevoegdheden slechts gedurende een beperkte periode beschikbaar.

« Stap 6