Etapa 2 - Preparar o primeiro controlador de domínio PRIV
Nesta etapa, você criará um novo domínio que fornecerá o ambiente bastion para autenticação de administrador. Essa floresta precisará de pelo menos um controlador de domínio, uma estação de trabalho membro e pelo menos um servidor membro. O servidor membro será configurado na próxima etapa.
Criar um novo controlador de domínio de Gerenciamento de Acesso Privilegiado
Nesta seção, você configurará uma máquina virtual para atuar como um controlador de domínio para uma nova floresta.
Instalar o Windows Server 2016 ou posterior
Em outra nova máquina virtual sem software instalado, instale o Windows Server 2016 ou posterior para tornar um computador "PRIVDC".
Selecione esta opção para executar uma instalação personalizada (não de atualização) do Windows Server. Ao instalar, especifique Windows Server 2016 (Server with Desktop Experience); não selecione Data Center ou Server Core.
Revise e aceite os termos da licença.
Como o disco estará vazio, selecione Personalizado: Instalar somente o Windows e use o espaço em disco não inicializado.
Depois de instalar a versão do sistema operativo, inicie sessão neste novo computador como o novo administrador. Use o Painel de Controle para definir o nome do computador como PRIVDC. Nas configurações de rede, forneça um endereço IP estático na rede virtual e configure o servidor DNS para ser o do controlador de domínio instalado na etapa anterior. Você precisará reiniciar o servidor.
Depois que o servidor for reiniciado, entre como administrador. Usando o Painel de Controle, configure o computador para verificar se há atualizações e instale as atualizações necessárias. A instalação de atualizações pode exigir uma reinicialização do servidor.
Adicionar funções
Adicione os Serviços de Domínio Ative Directory (AD DS) e as funções de Servidor DNS.
Inicie o PowerShell como administrador.
Digite os seguintes comandos para preparar uma instalação do Ative Directory do Windows Server.
import-module ServerManager Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
Definir configurações do Registro para migração do Histórico do SID
Inicie o PowerShell e digite o seguinte comando para configurar o domínio de origem para permitir o acesso de chamada de procedimento remoto (RPC) ao banco de dados do SAM (gerenciador de contas de segurança).
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
Criar uma nova floresta de Gerenciamento de Acesso Privilegiado
Em seguida, promova o servidor para um controlador de domínio de uma nova floresta.
Neste guia, o nome priv.contoso.local é usado como o nome de domínio da nova floresta. O nome da floresta não é crítico e não precisa estar subordinado a um nome de floresta existente na organização. No entanto, os nomes de domínio e NetBIOS da nova floresta devem ser exclusivos e distintos dos de qualquer outro domínio na organização.
Criar um domínio e uma floresta
Em uma janela do PowerShell, digite os seguintes comandos para criar o novo domínio. Esses comandos também criarão uma delegação DNS em um domínio superior (contoso.local), que foi criado em uma etapa anterior. Se você pretende configurar o DNS mais tarde, omita os
CreateDNSDelegation -DNSDelegationCredential $caparâmetros.$ca= get-credential Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $caQuando o pop-up aparecer para configurar a delegação DNS, forneça as credenciais para o administrador da floresta CORP, que neste guia era o nome de usuário CONTOSO\Administrator, e a senha correspondente da etapa 1.
A janela do PowerShell solicitará o uso de uma Senha de Administrador do Modo de Segurança. Introduza uma nova palavra-passe duas vezes. Mensagens de aviso para delegação de DNS e configurações de criptografia aparecerão; estes são normais.
Após a conclusão da criação da floresta, o servidor será reiniciado automaticamente.
Criar contas de usuário e de serviço
Crie as contas de usuário e serviço para a configuração do Serviço MIM e do Portal. Essas contas irão para o contêiner Usuários do domínio priv.contoso.local.
Depois que o servidor for reiniciado, entre no PRIVDC como administrador do domínio (PRIV\Administrator).
Inicie o PowerShell e digite os seguintes comandos. A senha 'Pass@word1' é apenas um exemplo e você deve usar uma senha diferente para as contas.
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent Set-ADAccountPassword –identity MIMComponent –NewPassword $sp Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 New-ADUser -SamAccountName MIMAdmin -name MIMAdmin Set-ADAccountPassword –identity MIMAdmin -NewPassword $sp Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1 Add-ADGroupMember "Domain Admins" SharePoint Add-ADGroupMember "Domain Admins" MIMService
Configurar direitos de auditoria e logon
Você precisa configurar a auditoria para que a configuração do PAM seja estabelecida entre florestas.
Certifique-se de que tem sessão iniciada como administrador do domínio (PRIV\Administrator).
Vá para Iniciar>o Gerenciamento de Diretiva de Grupo das Ferramentas>Administrativas do Windows.
Navegue até Floresta: priv.contoso.local>Domínios>priv.contoso.local>Política de Controladores de>Domínio Padrão. Será exibida uma mensagem de aviso.
Clique com o botão direito do mouse em Diretiva de Controladores de Domínio Padrão e selecione Editar.
Na árvore de console do Editor de Gerenciamento de Diretiva de Grupo, navegue até Políticas>de Configuração do>Computador, Configurações>do Windows, Configurações>de Segurança, Política de Auditoria de Políticas>Locais.
No painel Detalhes, clique com o botão direito do mouse em Auditar gerenciamento de conta e selecione Propriedades. Clique em Definir estas definições de política, marque a caixa de verificação Êxito, marque a caixa de verificação Falha, clique em Aplicar e, em seguida, OK.
No painel Detalhes, clique com o botão direito do mouse em Acesso ao serviço de diretório de auditoria e selecione Propriedades. Clique em Definir estas definições de política, marque a caixa de verificação Êxito, marque a caixa de verificação Falha, clique em Aplicar e, em seguida, OK.
Navegue até Políticas>de Configuração do>Computador, Configurações do Windows,>Configurações>de Segurança, Políticas>de Conta, Política Kerberos.
No painel Detalhes, clique com o botão direito do mouse em Tempo de vida máximo para o tíquete do usuário e selecione Propriedades. Clique em Definir estas definições de política, defina o número de horas como 1, clique em Aplicar e, em seguida, clique em OK. Observe que outras configurações na janela também serão alteradas.
Na janela Gerenciamento de Política de Grupo, selecione Diretiva de Domínio Padrão, clique com o botão direito do mouse e selecione Editar.
Expanda Políticas>de Configuração do>Computador, Configurações do Windows,>Configurações de Segurança,>Políticas Locais e selecione Atribuição de Direitos de Usuário.
No painel Detalhes, clique com o botão direito do mouse em Negar logon como um trabalho em lote e selecione Propriedades.
Marque a caixa de seleção Definir estas configurações de políticas, clique em Adicionar usuário ou grupo e, no campo Nomes de usuário e grupo, digite priv\mimmonitor; priv\MIMService; priv\mimcomponent e clique em OK.
Clique em OK para fechar a janela.
No painel Detalhes, clique com o botão direito do rato em Negar início de sessão através dos Serviços de Ambiente de Trabalho Remoto e selecione Propriedades.
Clique na caixa de seleção Definir estas configurações de políticas, clique em Adicionar usuário ou grupo e, no campo Nomes de usuário e grupo, digite priv\mimmonitor; priv\MIMService; priv\mimcomponent e clique em OK.
Clique em OK para fechar a janela.
Feche a janela Editor de Gerenciamento de Diretiva de Grupo e a janela Gerenciamento de Diretiva de Grupo.
Inicie uma janela do PowerShell como administrador e digite o seguinte comando para atualizar o DC a partir das configurações de política de grupo.
gpupdate /force /target:computerApós um minuto, ele será concluído com a mensagem "Atualização da diretiva do computador foi concluída com êxito".
Configurar o encaminhamento de nomes DNS no PRIVDC
Usando o PowerShell no PRIVDC, configure o encaminhamento de nomes DNS para que o domínio PRIV reconheça outras florestas existentes.
Inicie o PowerShell.
Para cada domínio na parte superior de cada floresta existente, digite o seguinte comando. Nesse comando, especifique o domínio DNS existente (como contoso.local) e os endereços IP dos servidores DNS primários desse domínio.
Se você criou um domínio contoso.local na etapa anterior com 10.1.1.31 como endereço IP, especifique 10.1.1.31 para o endereço IP da rede virtual do computador CORPDC.
Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
Nota
As outras florestas também devem ser capazes de rotear consultas DNS para a floresta PRIV para este controlador de domínio. Se você tiver várias florestas existentes do Ative Directory, também deverá adicionar um encaminhador condicional DNS a cada uma dessas florestas.
Configurar Kerberos
Usando o PowerShell, adicione SPNs para que o SharePoint, a API REST do PAM e o Serviço MIM possam usar a autenticação Kerberos.
setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint setspn -S http/pamsrv PRIV\SharePoint setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService setspn -S FIMService/pamsrv PRIV\MIMService
Nota
As próximas etapas deste documento descrevem como instalar os componentes de servidor do MIM 2016 em um único computador. Se você planeja adicionar outro servidor para alta disponibilidade, precisará de configuração Kerberos adicional, conforme descrito em FIM 2010: Configuração de autenticação Kerberos.
Configurar a delegação para conceder acesso às contas de serviço do MIM
Execute as seguintes etapas no PRIVDC como administrador de domínio.
Inicie Usuários e Computadores do Ative Directory.
Clique com o botão direito do mouse no domínio priv.contoso.local e selecione Delegar Controle.
Na guia Usuários e Grupos Selecionados, clique em Adicionar.
Na janela Selecionar Usuários, Computadores ou Grupos, digite
mimcomponent; mimmonitor; mimservicee clique em Verificar Nomes. Depois que os nomes forem sublinhados, clique em OK e em Avançar.Na lista de tarefas comuns, selecione Criar, excluir e gerenciar contas de usuário e Modificar a associação de um grupo e clique em Avançar e Concluir.
Novamente, clique com o botão direito do mouse no domínio priv.contoso.local e selecione Delegar Controle.
Na guia Usuários e Grupos Selecionados, clique em Adicionar.
Na janela Selecionar Usuários, Computadores ou Grupos, digite MIMAdmin e clique em Verificar Nomes. Depois que os nomes forem sublinhados, clique em OK e em Avançar.
Selecione tarefa personalizada, aplique a Esta pasta, com permissões Gerais.
Na lista de permissões, selecione as seguintes permissões:
- Ler
- Escrever
- Criar todos os objetos filho
- Excluir todos os objetos filho
- Ler todos os imóveis
- Escrever todas as propriedades
- Migrar histórico do SID
Clique em Avançar e, em seguida, em Concluir.
Mais uma vez, clique com o botão direito do mouse no domínio priv.contoso.local e selecione Delegar Controle.
Na guia Usuários e Grupos Selecionados, clique em Adicionar.
Na janela Selecionar Usuários, Computadores ou Grupos, digite MIMAdmin e clique em Verificar Nomes. Depois que os nomes forem sublinhados, clique em OK e, em seguida, em Avançar.
Selecione tarefa personalizada, aplique a Esta pasta e clique em Somente objetos de usuário.
Na lista de permissões, selecione Alterar senha e Redefinir senha. Em seguida, clique em Avançar e, em seguida, em Concluir.
Feche Computadores e Utilizadores do Active Directory.
Abra uma linha de comandos.
Revise a lista de controle de acesso no objeto Admin SD Holder nos domínios PRIV. Por exemplo, se o seu domínio era "priv.contoso.local", digite o comando:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"Atualize a lista de controle de acesso conforme necessário para garantir que o Serviço MIM e o serviço do componente PAM do MIM possam atualizar as associações de grupos protegidos por essa ACL. Digite o comando:
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member" dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
Configurar o PAM no Windows Server 2016
Em seguida, autorize os administradores do MIM e a conta do Serviço MIM a criar e atualizar entidades de sombra.
Habilite os recursos de Gerenciamento de Acesso Privilegiado no Ative Directory do Windows Server 2016 estão presentes e habilitados na floresta PRIV. Inicie uma janela do PowerShell como administrador e digite os seguintes comandos.
$of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'" Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"Inicie uma janela do PowerShell e digite ADSIEdit.
Abra o menu Ações, clique em "Conectar-se a". Na configuração Ponto de conexão, altere o contexto de nomenclatura de "Contexto de nomenclatura padrão" para "Configuração" e clique em OK.
Depois de conectar, no lado esquerdo da janela abaixo de "ADSI Edit", expanda o nó Configuração para ver "CN=Configuration,DC=priv,....". Expanda CN=Configuration e, em seguida, expanda CN=Services.
Clique com o botão direito em "CN=Shadow Principal Configuration" e clique em Propriedades. Quando a caixa de diálogo de propriedades for exibida, mude para a guia segurança.
Clique em Adicionar. Especifique as contas "MIMService", bem como quaisquer outros administradores do MIM que mais tarde executarão New-PAMGroup para criar grupos PAM adicionais. Para cada usuário, na lista de permissões permitidas, adicione "Gravar", "Criar todos os objetos filho" e "Excluir todos os objetos filho". Adicione as permissões.
Mude para as configurações de Segurança Avançada. Na linha que permite o acesso MIMService, clique em Editar. Altere a configuração "Aplica-se a" para "a este objeto e a todos os objetos descendentes". Atualize essa configuração de permissão e feche a caixa de diálogo de segurança.
Feche o ADSI Edit.
Em seguida, autorize os administradores do MIM a criar e atualizar a política de autenticação. Inicie um prompt de comando elevado e digite os seguintes comandos, substituindo o nome da sua conta de administrador do MIM por "mimadmin" em cada uma das quatro linhas:
dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySiloReinicie o servidor PRIVDC para que essas alterações entrem em vigor.
Preparar uma estação de trabalho PRIV
Siga estas instruções para preparar uma estação de trabalho. Esta estação de trabalho será unida ao domínio PRIV para executar a manutenção de recursos PRIV (como MIM).
Instalar o Windows 10 Enterprise
Em outra nova máquina virtual sem software instalado, instale o Windows 10 Enterprise para criar um computador "PRIVWKSTN".
Use as configurações Express durante a instalação.
Observe que a instalação pode não ser capaz de se conectar à Internet. Clique para criar uma conta local. Especifique um nome de usuário diferente; não use "Administrador" ou "Jen".
Usando o Painel de Controle, forneça a este computador um endereço IP estático na rede virtual e defina o servidor DNS preferido da interface como sendo o do servidor PRIVDC.
Usando o Painel de Controle, o domínio une o computador PRIVWKSTN ao domínio priv.contoso.local. Esta etapa exigirá o fornecimento das credenciais de administrador de domínio PRIV. Quando isso terminar, reinicie o computador PRIVWKSTN.
Instale os pacotes redistribuíveis do Visual C++ 2013 para Windows de 64 bits.
Se quiser mais detalhes, consulte Protegendo estações de trabalho de acesso privilegiado.
Na próxima etapa, você preparará um servidor PAM.