Krok 2. Przygotowanie pierwszego kontrolera domeny PRIV
W tym kroku utworzysz nową domenę, która zapewni środowisko bastionu na potrzeby uwierzytelniania administratora. Ten las będzie potrzebował co najmniej jednego kontrolera domeny, stacji roboczej członkowskiej i co najmniej jednego serwera członkowskiego. Serwer członkowski zostanie skonfigurowany w następnym kroku.
Tworzenie nowego kontrolera domeny usługi Privileged Access Management
W tej sekcji skonfigurujesz maszynę wirtualną, która będzie działać jako kontroler domeny dla nowego lasu.
Instalowanie systemu Windows Server 2016 lub nowszego
Na innej nowej maszynie wirtualnej bez zainstalowanego oprogramowania zainstaluj system Windows Server 2016 lub nowszy, aby utworzyć komputer "PRIVDC".
Wybierz, aby wykonać instalację niestandardową (nie uaktualnij) systemu Windows Server. Podczas instalowania określ system Windows Server 2016 (Serwer ze środowiskiem pulpitu); Nie wybieraj centrum danych ani serwera Core.
Przejrzyj i zaakceptuj postanowienia licencyjne.
Ponieważ dysk będzie pusty, wybierz pozycję Niestandardowe: zainstaluj tylko system Windows i użyj niezainicjowanego miejsca na dysku.
Po zainstalowaniu wersji systemu operacyjnego zaloguj się na tym nowym komputerze jako nowy administrator. Użyj Panel sterowania, aby ustawić nazwę komputera na PRIVDC. W ustawieniach sieci nadaj mu statyczny adres IP w sieci wirtualnej i skonfiguruj serwer DNS tak, aby był on zainstalowany w poprzednim kroku. Należy ponownie uruchomić serwer.
Po ponownym uruchomieniu serwera zaloguj się jako administrator. Korzystając z Panel sterowania, skonfiguruj komputer pod kątem sprawdzania dostępności aktualizacji i instalowania wszelkich wymaganych aktualizacji. Instalowanie aktualizacji może wymagać ponownego uruchomienia serwera.
Dodawanie ról
Dodaj role usług domena usługi Active Directory (AD DS) i serwera DNS.
Uruchom program PowerShell jako administrator.
Wpisz następujące polecenia, aby przygotować się do instalacji usługi Active Directory systemu Windows Server.
import-module ServerManager Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
Konfigurowanie ustawień rejestru na potrzeby migracji historii identyfikatorów SID
Uruchom program PowerShell i wpisz następujące polecenie, aby skonfigurować domenę źródłową w celu zezwolenia na zdalny dostęp wywołania procedury (RPC) do bazy danych menedżera kont zabezpieczeń (SAM).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
Tworzenie nowego lasu zarządzania dostępem uprzywilejowanym
Następnie podwyższ poziom serwera do kontrolera domeny nowego lasu.
W tym przewodniku nazwa priv.contoso.local jest używana jako nazwa domeny nowego lasu. Nazwa lasu nie jest krytyczna i nie musi być podrzędna dla istniejącej nazwy lasu w organizacji. Jednak zarówno nazwy domeny, jak i NetBIOS nowego lasu muszą być unikatowe i odrębne od każdej innej domeny w organizacji.
Tworzenie domeny i lasu
W oknie programu PowerShell wpisz następujące polecenia, aby utworzyć nową domenę. Te polecenia spowodują również utworzenie delegowania DNS w domenie superior (contoso.local), która została utworzona w poprzednim kroku. Jeśli zamierzasz później skonfigurować usługę
CreateDNSDelegation -DNSDelegationCredential $caDNS, pomiń parametry.$ca= get-credential Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $caGdy pojawi się okno podręczne służące do konfigurowania delegowania DNS, podaj poświadczenia administratora lasu CORP, który w tym przewodniku to nazwa użytkownika CONTOSO\Administrator oraz odpowiednie hasło z kroku 1.
W oknie programu PowerShell zostanie wyświetlony monit o podanie hasła administratora trybu awaryjnego. Wprowadź dwa razy nowe hasło. Zostaną wyświetlone komunikaty ostrzegawcze dotyczące delegowania DNS i ustawień kryptografii; są to normalne.
Po zakończeniu tworzenia lasu serwer zostanie automatycznie uruchomiony ponownie.
Tworzenie kont użytkowników i usług
Utwórz konta użytkowników i usług dla konfiguracji usługi PROGRAMU MIM i portalu. Te konta będą dostępne w kontenerze Users domeny priv.contoso.local.
Po ponownym uruchomieniu serwera zaloguj się do PRIVDC jako administrator domeny (PRIV\Administrator).
Uruchom program PowerShell i wpisz następujące polecenia. Hasło "Pass@word1" jest tylko przykładem i należy użyć innego hasła dla kont.
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent Set-ADAccountPassword –identity MIMComponent –NewPassword $sp Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 New-ADUser -SamAccountName MIMAdmin -name MIMAdmin Set-ADAccountPassword –identity MIMAdmin -NewPassword $sp Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1 Add-ADGroupMember "Domain Admins" SharePoint Add-ADGroupMember "Domain Admins" MIMService
Konfigurowanie praw inspekcji i logowania
Aby konfiguracja usługi PAM została ustanowiona w lasach, należy skonfigurować inspekcję.
Upewnij się, że zalogowałeś się jako administrator domeny (PRIV\Administrator).
Przejdź do pozycji Uruchom>zarządzanie zasadami grupy narzędzi administracyjnych systemu>Windows.
Przejdź do lasu: priv.contoso.local>Domains>priv.contoso.local>Kontrolery domeny domyślne zasady kontrolerów>domeny. Zostanie wyświetlony komunikat ostrzegawczy.
Kliknij prawym przyciskiem myszy domyślne zasady kontrolerów domeny i wybierz polecenie Edytuj.
W drzewie konsoli Edytor zarządzania zasadami grupy przejdź do pozycji Zasady>konfiguracji>komputera Ustawienia zabezpieczeń Ustawień>systemu>Windows Zasady inspekcji zasad lokalnych.>
W okienku Szczegóły kliknij prawym przyciskiem myszy pozycję Inspekcja zarządzania kontami i wybierz pozycję Właściwości. Kliknij pozycję Zdefiniuj te ustawienia zasad, zaznacz pole wyboru Powodzenie, zaznacz pole wyboru Niepowodzenie, kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.
W okienku Szczegóły kliknij prawym przyciskiem myszy pozycję Inspekcja dostępu do usługi katalogowej i wybierz pozycję Właściwości. Kliknij pozycję Zdefiniuj te ustawienia zasad, zaznacz pole wyboru Powodzenie, zaznacz pole wyboru Niepowodzenie, kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.
Przejdź do pozycji Zasady>konfiguracji>komputera Ustawienia systemu Windows Ustawienia>>zabezpieczeń Zasady> konta Protokołu Kerberos.
W okienku Szczegóły kliknij prawym przyciskiem myszy pozycję Maksymalny okres istnienia biletu użytkownika i wybierz pozycję Właściwości. Kliknij pozycję Zdefiniuj te ustawienia zasad, ustaw liczbę godzin na 1, kliknij przycisk Zastosuj , a następnie kliknij przycisk OK. Należy pamiętać, że inne ustawienia w oknie również zostaną zmienione.
W oknie Zarządzanie zasadami grupy wybierz pozycję Domyślne zasady domeny, kliknij prawym przyciskiem myszy i wybierz polecenie Edytuj.
Rozwiń węzeł Zasady>konfiguracji>komputera Ustawienia systemu Windows Ustawienia>zabezpieczeń Zasady>lokalne i wybierz pozycję Przypisywanie praw użytkownika.
W okienku Szczegóły kliknij prawym przyciskiem myszy pozycję Odmowa logowania jako zadanie wsadowe i wybierz polecenie Właściwości.
Zaznacz pole wyboru Zdefiniuj te ustawienia zasad, kliknij przycisk Dodaj użytkownika lub grupę, a następnie w polu Nazwy użytkowników i grup wpisz priv\mimmonitor; priv\MIMService; priv\mimcomponent i kliknij przycisk OK.
Kliknij przycisk OK , aby zamknąć okno.
W okienku Szczegóły kliknij prawym przyciskiem myszy pozycję Odmowa logowania za pośrednictwem usług pulpitu zdalnego i wybierz pozycję Właściwości.
Kliknij pole wyboru Zdefiniuj te ustawienia zasad, kliknij przycisk Dodaj użytkownika lub grupę, a następnie w polu Nazwy użytkowników i grup wpisz priv\mimmonitor; priv\MIMService; priv\mimcomponent i kliknij przycisk OK.
Kliknij przycisk OK , aby zamknąć okno.
Zamknij okno Edytor zarządzania zasadami grupy i okno Zarządzanie zasadami grupy.
Uruchom okno programu PowerShell jako administrator i wpisz następujące polecenie, aby zaktualizować kontroler domeny z ustawień zasad grupy.
gpupdate /force /target:computerPo chwili zostanie wyświetlony komunikat "Aktualizacja zasad komputera została ukończona pomyślnie".
Konfigurowanie przekazywania nazw DNS na komputerze PRIVDC
Za pomocą programu PowerShell na komputerze PRIVDC skonfiguruj przekazywanie nazw DNS, aby domena PRIV rozpoznawała inne istniejące lasy.
Uruchom program PowerShell.
Dla każdej domeny w górnej części każdego istniejącego lasu wpisz następujące polecenie. W tym poleceniu określ istniejącą domenę DNS (np. contoso.local) i adresy IP podstawowych serwerów DNS tej domeny.
Jeśli w poprzednim kroku utworzono jedną domenę contoso.local z adresem IP 10.1.1.31 , określ wartość 10.1.1.31 dla adresu IP sieci wirtualnej komputera CORPDC.
Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
Uwaga
Inne lasy muszą również mieć możliwość kierowania zapytań DNS dla lasu PRIV do tego kontrolera domeny. Jeśli masz wiele istniejących lasów usługi Active Directory, musisz również dodać usługę przesyłania warunkowego DNS do każdego z tych lasów.
Konfigurowanie protokołu Kerberos
Za pomocą programu PowerShell dodaj nazwy SPN, aby program SharePoint, interfejs API REST usługi PAM i usługa MIM mogły używać uwierzytelniania Kerberos.
setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint setspn -S http/pamsrv PRIV\SharePoint setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService setspn -S FIMService/pamsrv PRIV\MIMService
Uwaga
W następnych krokach tego dokumentu opisano sposób instalowania składników serwera programu MIM 2016 na jednym komputerze. Jeśli planujesz dodać inny serwer w celu zapewnienia wysokiej dostępności, potrzebna będzie dodatkowa konfiguracja protokołu Kerberos zgodnie z opisem w artykule FIM 2010: Konfiguracja uwierzytelniania Protokołu Kerberos.
Konfigurowanie delegowania w celu udzielenia dostępu do kont usług programu MIM
Wykonaj następujące kroki na komputerze PRIVDC jako administrator domeny.
Uruchom Użytkownicy i komputery usługi Active Directory.
Kliknij prawym przyciskiem myszy domenę priv.contoso.local i wybierz polecenie Deleguj kontrolę.
Na karcie Wybrani użytkownicy i grupy kliknij przycisk Dodaj.
W oknie Wybieranie użytkowników, komputerów lub grup wpisz
mimcomponent; mimmonitor; mimservicei kliknij przycisk Sprawdź nazwy. Po podkreśleniu nazw kliknij przycisk OK , a następnie przycisk Dalej.Na liście typowych zadań wybierz pozycję Utwórz, usuń konta użytkowników i Zmodyfikuj członkostwo w grupie, a następnie kliknij przycisk Dalej i Zakończ.
Ponownie kliknij prawym przyciskiem myszy domenę priv.contoso.local i wybierz polecenie Deleguj kontrolę.
Na karcie Wybrani użytkownicy i grupy kliknij przycisk Dodaj.
W oknie Wybieranie użytkowników, komputerów lub grup wprowadź MIMAdmin i kliknij przycisk Sprawdź nazwy. Po podkreśleniu nazw kliknij przycisk OK , a następnie przycisk Dalej.
Wybierz zadanie niestandardowe, zastosuj do tego folderu z uprawnieniami ogólnymi.
Na liście uprawnień wybierz następujące uprawnienia:
- Przeczytaj
- Zapis
- Tworzenie wszystkich obiektów podrzędnych
- Usuń wszystkie obiekty podrzędne
- Odczytywanie wszystkich właściwości
- Zapisz wszystkie właściwości
- Migrowanie historii identyfikatorów SID
Kliknij przycisk Dalej, a następnie zakończ.
Po raz kolejny kliknij prawym przyciskiem myszy domenę priv.contoso.local i wybierz polecenie Deleguj kontrolę.
Na karcie Wybrani użytkownicy i grupy kliknij przycisk Dodaj.
W oknie Wybieranie użytkowników, komputerów lub grup wprowadź MIMAdmin, a następnie kliknij przycisk Sprawdź nazwy. Po podkreśleniu nazw kliknij przycisk OK, a następnie przycisk Dalej.
Wybierz zadanie niestandardowe, zastosuj do tego folderu, a następnie kliknij tylko obiekty użytkownika.
Na liście uprawnień wybierz pozycję Zmień hasło i Resetuj hasło. Następnie kliknij przycisk Dalej , a następnie zakończ.
Zamknij stronę Użytkownicy i komputery usługi Active Directory.
Otwórz wiersz polecenia.
Przejrzyj listę kontroli dostępu w obiekcie Admin SD Holder w domenach PRIV. Jeśli na przykład domena to "priv.contoso.local", wpisz polecenie:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"Zaktualizuj listę kontroli dostępu zgodnie z potrzebami, aby upewnić się, że usługa składnika MIM i usługa PAM programu MIM mogą aktualizować członkostwa w grupach chronionych przez tę listę ACL. Wpisz polecenie:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member" dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
Konfigurowanie usługi PAM w systemie Windows Server 2016
Następnie autoryzuj administratorów programu MIM i konto usługi MIM do tworzenia i aktualizowania podmiotów zabezpieczeń w tle.
Włącz funkcje zarządzania dostępem uprzywilejowanym w systemie Windows Server 2016 Active Directory są obecne i włączone w lesie PRIV. Uruchom okno programu PowerShell jako administrator i wpisz następujące polecenia.
$of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'" Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"Uruchom okno programu PowerShell i wpisz ADSIEdit.
Otwórz menu Akcje, kliknij pozycję "Połącz z". W ustawieniu Punkt połączenia zmień kontekst nazewnictwa z "Domyślny kontekst nazewnictwa" na "Konfiguracja", a następnie kliknij przycisk OK.
Po nawiązaniu połączenia po lewej stronie okna poniżej "ADSI Edit" rozwiń węzeł Konfiguracja, aby zobaczyć "CN=Configuration,DC=priv,....". Rozwiń węzeł CN=Configuration, a następnie rozwiń węzeł CN=Services.
Kliknij prawym przyciskiem myszy pozycję "CN=Shadow Principal Configuration" (Konfiguracja podmiotu zabezpieczeń w tle) i kliknij pozycję Właściwości. Po wyświetleniu okna dialogowego właściwości zmień na kartę Zabezpieczenia.
Kliknij przycisk Dodaj. Określ konta "MIMService", a także innych administratorów programu MIM, którzy później będą wykonywać nowe grupy PAMGroup w celu utworzenia dodatkowych grup PAM. Dla każdego użytkownika na liście dozwolonych uprawnień dodaj ciąg "Write", "Create all child objects" (Utwórz wszystkie obiekty podrzędne) i "Delete all child objects" (Usuń wszystkie obiekty podrzędne). Dodaj uprawnienia.
Zmień na Ustawienia zabezpieczeń zaawansowanych. W wierszu umożliwiającym dostęp do usługi MIMService kliknij pozycję Edytuj. Zmień ustawienie "Dotyczy" na "do tego obiektu i wszystkich obiektów potomnych". Zaktualizuj to ustawienie uprawnień i zamknij okno dialogowe zabezpieczeń.
Zamknij edytor ADSI.
Następnie autoryzuj administratorom programu MIM tworzenie i aktualizowanie zasad uwierzytelniania. Uruchom wiersz polecenia z podwyższonym poziomem uprawnień i wpisz następujące polecenia, zastępując nazwę konta administratora programu MIM "mimadmin" w każdym z czterech wierszy:
dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySiloUruchom ponownie serwer PRIVDC, aby te zmiany zaczęły obowiązywać.
Przygotowywanie stacji roboczej PRIV
Postępuj zgodnie z tymi instrukcjami, aby przygotować stację roboczą. Ta stacja robocza zostanie przyłączona do domeny PRIV w celu przeprowadzenia konserwacji zasobów PRIV (takich jak MIM).
Instalowanie systemu Windows 10 Enterprise
Na innej nowej maszynie wirtualnej bez zainstalowanego oprogramowania zainstaluj system Windows 10 Enterprise, aby utworzyć komputer "PRIVWKSTN".
Użyj ustawień ekspresowych podczas instalacji.
Należy pamiętać, że instalacja może nie być w stanie nawiązać połączenia z Internetem. Kliknij, aby utworzyć konto lokalne. Określ inną nazwę użytkownika; nie należy używać "Administrator" ani "Jen".
Korzystając z Panel sterowania, nadaj temu komputerowi statyczny adres IP w sieci wirtualnej i ustaw preferowany serwer DNS interfejsu na serwer PRIVDC.
Przy użyciu Panel sterowania przyłącz komputer PRIVWKSTN do domeny priv.contoso.local. Ten krok będzie wymagał podania poświadczeń administratora domeny PRIV. Po zakończeniu tego procesu uruchom ponownie komputer PRIVWKSTN.
Zainstaluj pakiety redystrybucyjne Visual C++ 2013 dla 64-bitowego systemu Windows.
Jeśli chcesz uzyskać więcej szczegółów, zobacz Zabezpieczanie stacji roboczych z dostępem uprzywilejowanym.
W następnym kroku przygotujesz serwer PAM.