Etapa 2 – Preparar o primeiro controlador de domínio PRIV
Nesta etapa, você criará um novo domínio que fornecerá o ambiente de bastiões para autenticação de administrador. Essa floresta precisará de pelo menos um controlador de domínio, uma estação de trabalho membro e pelo menos um servidor membro. O servidor membro será configurado na próxima etapa.
Criar um novo controlador de domínio do Privileged Access Management
Nesta seção, você configurará uma máquina virtual para atuar como um controlador de domínio para uma nova floresta.
Instalar o Windows Server 2016 ou posterior
Em outra nova máquina virtual sem software instalado, instale o Windows Server 2016 ou posterior para tornar um computador "PRIVDC".
Selecione executar uma instalação personalizada (não atualização) do Windows Server. Ao instalar, especifique Windows Server 2016 (Servidor com Experiência Desktop);não selecione Data Center ou Server Core.
Examine e aceite os termos de licença.
Como o disco estará vazio, selecione Personalizado: Instalar somente o Windows e use o espaço em disco não inicializado.
Depois de instalar a versão do sistema operacional, entre neste novo computador como o novo administrador. Use o Painel de Controle para definir o nome do computador como PRIVDC. Nas configurações de rede, forneça um endereço IP estático na rede virtual e configure o servidor DNS para ser o do controlador de domínio instalado na etapa anterior. Você precisará reiniciar o servidor.
Depois que o servidor for reiniciado, entre como administrador. Usando o Painel de Controle, configure o computador para verificar se há atualizações e instale todas as atualizações necessárias. A instalação de atualizações pode exigir a reinicialização do servidor.
Adicionar funções
Adicione as funções AD DS (Serviços de Domínio Active Directory) e Servidor DNS.
Inicie o PowerShell como um administrador.
Digite os comandos a seguir para se preparar para uma instalação do Windows Server Active Directory.
import-module ServerManager Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
Definir configurações do Registro para migração do histórico de SID
Inicie o PowerShell e digite o comando a seguir para configurar o domínio de origem para permitir o acesso RPC (chamada de procedimento remoto) ao banco de dados SAM (gerenciador de contas de segurança).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
Criar uma nova floresta do Privileged Access Management
Em seguida, promova o servidor para um controlador de domínio de uma nova floresta.
Neste guia, o nome priv.contoso.local é usado como o nome de domínio da nova floresta. O nome da floresta não é crítico e não precisa ser subordinado a um nome de floresta existente na organização. No entanto, o domínio e os nomes de NetBIOS da nova floresta devem ser exclusivos e diferentes daqueles de qualquer outro domínio na organização.
Criar um domínio e uma floresta
Em uma janela do PowerShell, digite os comandos a seguir para criar o novo domínio. Esses comandos também criarão uma delegação DNS em um domínio superior (contoso.local), que foi criado em uma etapa anterior. Se você pretende configurar o DNS mais tarde, omita os
CreateDNSDelegation -DNSDelegationCredential $caparâmetros.$ca= get-credential Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $caQuando o pop-up aparecer para configurar a delegação DNS, forneça as credenciais para o administrador de floresta CORP, que neste guia era o nome de usuário CONTOSO\Administrator e a senha correspondente da etapa 1.
A janela do PowerShell solicitará uma senha de administrador do modo de segurança a ser usada. Digite uma nova senha duas vezes. Mensagens de aviso para delegação de DNS e configurações de criptografia serão exibidas; estes são normais.
Após a conclusão da criação da floresta, o servidor será reiniciado automaticamente.
Criar contas de usuário e de serviço
Crie as contas de usuário e serviço para a configuração do Serviço e do Portal do MIM. Essas contas irão para o contêiner Usuários do domínio priv.contoso.local.
Depois que o servidor for reiniciado, entre no PRIVDC como administrador de domínio (PRIV\Administrator).
Inicie o PowerShell e digite os comandos a seguir. A senha 'Pass@word1' é apenas um exemplo e você deve usar uma senha diferente para as contas.
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent Set-ADAccountPassword –identity MIMComponent –NewPassword $sp Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 New-ADUser -SamAccountName MIMAdmin -name MIMAdmin Set-ADAccountPassword –identity MIMAdmin -NewPassword $sp Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1 Add-ADGroupMember "Domain Admins" SharePoint Add-ADGroupMember "Domain Admins" MIMService
Configurar a auditoria e os direitos de logon
Você precisa configurar a auditoria para que a configuração do PAM seja estabelecida entre as florestas.
Verifique se você está conectado como administrador de domínio (PRIV\Administrador).
Vá para Iniciar>o Gerenciamento de Política de Grupo das Ferramentas>Administrativas do Windows.
Navegue até Floresta: priv.contoso.local>Domínios>priv.contoso.local>Controladores de Domínio Padrão Política de>Controladores de Domínio. Uma mensagem de aviso será exibida.
Clique com o botão direito do mouse em Política de Controladores de Domínio Padrão e selecione Editar.
Na árvore de console do Editor de Gerenciamento de Política de Grupo, navegue até Políticas>de Configuração>do Computador Configurações>do Windows Configurações de Segurança Políticas>>Locais Política de Auditoria.
No painel Detalhes, clique com o botão direito do mouse em Auditar gerenciamento de contas e selecione Propriedades. Clique em Definir essas configurações de política, marque a caixa de seleção Êxito, marque a caixa de seleção Falha, clique em Aplicar e em OK.
No painel Detalhes, clique com o botão direito do mouse em Auditar acesso ao serviço de diretório e selecione Propriedades. Clique em Definir essas configurações de política, marque a caixa de seleção Êxito, marque a caixa de seleção Falha, clique em Aplicar e em OK.
Navegue até Políticas de Configuração>do Computador,>Configurações>do Windows, Configurações de Segurança, Políticas>de Conta,>Política Kerberos.
No painel Detalhes, clique com o botão direito do mouse em Tempo de vida máximo para o tíquete do usuário e selecione Propriedades. Clique em Definir essas configurações de política, defina o número de horas como 1, clique em Aplicar e em OK. Observe que as outras configurações na janela também serão alteradas.
Na janela Gerenciamento de Política de Grupo, selecione Política de Domínio Padrão, clique com o botão direito do mouse e selecione Editar.
Expanda Políticas de Configuração>do>Computador, Configurações do Windows,>Configurações de Segurança, Políticas> Locais e selecione Atribuição de Direitos do Usuário.
No painel Detalhes, clique com o botão direito do mouse em Negar logon como um trabalho em lotes e selecione Propriedades.
Marque a caixa de seleção Definir estas configurações de políticas, clique em Adicionar usuário ou grupo e, no campo Nomes de usuário e grupo, digite priv\mimmonitor; priv\MIMService; priv\mimcomponent e clique em OK.
Clique em OK para fechar a janela.
No painel Detalhes, clique com o botão direito do mouse em Negar logon por meio dos Serviços de Área de Trabalho Remota e selecione Propriedades.
Clique na caixa de seleção Definir estas configurações de diretivas, clique em Adicionar usuário ou grupo e, no campo Nomes de usuário e grupo, digite priv\mimmonitor; priv\MIMService; priv\mimcomponent e clique em OK.
Clique em OK para fechar a janela.
Feche a janela Editor de Gerenciamento de Diretiva de Grupo e a janela Gerenciamento de Diretiva de Grupo.
Inicie uma janela do PowerShell como administrador e digite o seguinte comando para atualizar o controlador de domínio nas configurações da política de grupo.
gpupdate /force /target:computerApós um minuto, ele será concluído com a mensagem "A atualização da Política do Computador foi concluída com sucesso".
Configurar o encaminhamento de nome DNS no PRIVDC
Usando o PowerShell no PRIVDC, configure o encaminhamento de nome DNS para que o domínio PRIV reconheça outras florestas existentes.
Inicie o PowerShell.
Para cada domínio na parte superior de cada floresta existente, digite o comando a seguir. Nesse comando, especifique o domínio DNS existente (como contoso.local) e os endereços IP dos servidores DNS primários desse domínio.
Se você criou um domínio contoso.local na etapa anterior com 10.1.1.31 como seu endereço IP, especifique 10.1.1.31 para o endereço IP da rede virtual do computador CORPDC.
Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
Observação
As outras florestas também devem ser capazes de rotear consultas DNS para a floresta PRIV para esse controlador de domínio. Se você tiver várias florestas existentes do Active Directory, também deverá adicionar um encaminhador condicional DNS a cada uma dessas florestas.
Configurar o Kerberos
Usando o PowerShell, adicione SPNs para que o SharePoint, a API REST do PAM e o Serviço MIM possam usar a autenticação Kerberos.
setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint setspn -S http/pamsrv PRIV\SharePoint setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService setspn -S FIMService/pamsrv PRIV\MIMService
Observação
As próximas etapas deste documento descrevem como instalar componentes do servidor do MIM 2016 em um único computador. Se você planeja adicionar outro servidor para alta disponibilidade, precisará de uma configuração Kerberos adicional, conforme descrito em FIM 2010: Configuração de autenticação Kerberos.
Configurar a delegação para conceder acesso às contas de serviço do MIM
Execute as etapas a seguir no PRIVDC como administrador de domínio.
Inicie usuários e computadores do Active Directory.
Clique com o botão direito do mouse no domínio priv.contoso.local e selecione Delegar Controle.
Na guia Usuários e Grupos Selecionados, clique em Adicionar.
Na janela Selecionar Usuários, Computadores ou Grupos, digite
mimcomponent; mimmonitor; mimservicee clique em Verificar Nomes. Depois que os nomes forem sublinhados, clique em OK e depois em Avançar.Na lista de tarefas comuns, selecione Criar, excluir e gerenciar contas de usuário e Modificar a associação de um grupo e clique em Avançar e Concluir.
Novamente, clique com o botão direito do mouse no domínio priv.contoso.local e selecione Delegar Controle.
Na guia Usuários e Grupos Selecionados, clique em Adicionar.
Na janela Selecionar Usuários, Computadores ou Grupos, insira MIMAdmin e clique em Verificar Nomes. Depois que os nomes forem sublinhados, clique em OK e depois em Avançar.
Selecione a tarefa personalizada, aplicar a Esta pasta, com permissões Gerais.
Na lista de permissões, selecione as seguintes permissões:
- Leitura
- Gravar
- Criar todos os objetos filhos
- Excluir todos os objetos filho
- Ler todos os imóveis
- Gravar todas as propriedades
- Migrar histórico de SID
Clique em Avançar e em Concluir.
Mais uma vez, clique com o botão direito do mouse no domínio priv.contoso.local e selecione Delegar Controle.
Na guia Usuários e Grupos Selecionados, clique em Adicionar.
Na janela Selecionar Usuários, Computadores ou Grupos, digite MIMAdmin e clique em Verificar Nomes. Depois que os nomes forem sublinhados, clique em OK e, em seguida, em Avançar.
Selecione a tarefa personalizada, aplique a Esta pasta e clique apenas em Objetos de usuário.
Na lista de permissões, selecione Alterar senha e Redefinir senha. Em seguida, clique em Avançar e em Concluir.
Feche Usuários e Computadores do Active Directory.
Abra um prompt de comando.
Examine a lista de controle de acesso no objeto Titular SD Admin nos domínios PRIV. Por exemplo, se o domínio for "priv.contoso.local", digite o comando:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"Atualize a lista de controle de acesso conforme necessário para garantir que o Serviço MIM e o serviço de componente PAM do MIM possam atualizar associações de grupos protegidos por essa ACL. Digite o comando:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member" dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
Configurar o PAM no Windows Server 2016
Em seguida, autorize os administradores do MIM e a conta do Serviço do MIM a criar e atualizar entidades de sombra.
Habilitar os recursos do Privileged Access Management no Windows Server 2016 Active Directory estão presentes e habilitados na floresta PRIV. Inicie uma janela do PowerShell como administrador e digite os comandos a seguir.
$of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'" Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"Inicie uma janela do PowerShell e digite ADSIEdit.
Abra o menu Ações, clique em "Conectar a". Na configuração Ponto de conexão, altere o contexto de nomenclatura de "Contexto de nomenclatura padrão" para "Configuração" e clique em OK.
Após a conexão, no lado esquerdo da janela abaixo de "ADSI Edit", expanda o nó Configuração para ver "CN=Configuration,DC=priv,....". Expanda CN=Configuration e, em seguida, expanda CN=Services.
Clique com o botão direito do mouse em "CN=Shadow Principal Configuration" e clique em Propriedades. Quando a caixa de diálogo de propriedades for exibida, mude para a guia de segurança.
Clique em Adicionar. Especifique as contas "MIMService", bem como quaisquer outros administradores do MIM que posteriormente executarão o New-PAMGroup para criar grupos PAM adicionais. Para cada usuário, na lista de permissões permitidas, adicione "Gravar", "Criar todos os objetos filho" e "Excluir todos os objetos filho". Adicione as permissões.
Altere para as configurações de Segurança Avançada. Na linha que permite o acesso ao MIMService, clique em Editar. Altere a configuração "Aplica-se a" para "a este objeto e a todos os objetos descendentes". Atualize essa configuração de permissão e feche a caixa de diálogo de segurança.
Feche o Editor ADSI.
Em seguida, autorize os administradores do MIM a criar e atualizar a política de autenticação. Inicie um prompt de comando com privilégios elevados e digite os seguintes comandos, substituindo o nome da sua conta de administrador do MIM por "mimadmin" em cada uma das quatro linhas:
dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySiloReinicie o servidor PRIVDC para que essas alterações entrem em vigor.
Preparar uma estação de trabalho PRIV
Siga estas instruções para preparar uma estação de trabalho. Essa estação de trabalho será ingressada no domínio PRIV para executar a manutenção de recursos PRIV (como MIM).
Instalar o Windows 10 Enterprise
Em outra nova máquina virtual sem software instalado, instale o Windows 10 Enterprise para tornar um computador "PRIVWKSTN".
Use as configurações Express durante a instalação.
Observe que a instalação pode não ser capaz de se conectar à Internet. Clique para Criar uma conta local. Especifique um nome de usuário diferente; não use "Administrador" nem "Jen".
Usando o Painel de Controle, forneça a este computador um endereço IP estático na rede virtual e defina o servidor DNS preferencial da interface como o do servidor PRIVDC.
Usando o Painel de Controle, ingresse no domínio o computador PRIVWKSTN no domínio priv.contoso.local. Esta etapa exigirá o fornecimento das credenciais de administrador de domínio PRIV. Quando isso for concluído, reinicie o computador PRIVWKSTN.
Instale os pacotes redistribuíveis do Visual C++ 2013 para Windows de 64 bits.
Se você quiser mais detalhes, consulte protegendo estações de trabalho de acesso privilegiado.
Na próxima etapa, você preparará um servidor PAM.