Шаг 1. Подготовка узла и домена CORP

Шаг 2 »

На этом шаге вы подготовитесь к размещению среды, которой будет управлять PAM. При необходимости вы также создадите контроллер домена и рабочую станцию-член в новом домене и лесу (лес CORP ). Доступ к этому лесу будет осуществляться из удостоверений, управляемых средой бастиона, с лесом PRIV , созданным на следующем шаге. Этот лес CORP имитирует существующий лес, содержащий ресурсы, которыми нужно управлять. Этот документ содержит пример ресурсов для защиты — общую папку.

Если у вас уже есть домен Active Directory (AD) с контроллером домена, работающим Windows Server 2012 R2 или более поздней версии, где вы являетесь администратором домена, можно использовать этот домен и перейти к разделу "Создание группы" в этой статье.

Подготовка контроллера домена CORP

В этом разделе описывается настройка контроллера домена для домена CORP. В домене CORP административными пользователями управляет среда бастиона. В данном примере для домена CORP используется имя системы доменных имен (DNS) contoso.local.

Установка Windows Server

Установите Windows Server 2016 или более поздней версии на виртуальной машине, чтобы создать компьютер с именем CORPDC.

1. Выберите Windows Server 2016 (сервер с возможностями рабочего стола).

2. Просмотрите и примите условия лицензионного соглашения.

3. Поскольку диск будет пустым, выберите Выборочная: установка только Windows и используйте неинициализированное дисковое пространство.

4. Войдите на новый компьютер от имени его администратора. Перейдите в "Панель управления". Задайте для компьютера имя CORPDC и назначьте ему статический IP-адрес в виртуальной сети. Перезапустите сервер.

5. После перезагрузки сервера войдите от имени администратора. Перейдите в "Панель управления". Настройте компьютер для проверки обновлений и установите все необходимые обновления. Перезапустите сервер.

Добавление ролей для установки контроллера домена

В этом разделе вы настроите новый сервер Windows Server, чтобы стать контроллером домена. Вы добавите роли доменные службы Active Directory (AD DS), DNS-сервер и файловый сервер (часть раздела "Файловые службы и службы хранилища") и повысьт этот сервер до контроллера домена нового леса contoso.local.

Примечание

Если у вас уже есть домен, используемый в качестве домена CORP, и этот домен использует Windows Server 2012 R2 или более поздней версии в качестве функционального уровня домена, можно перейти к разделу Создание дополнительных пользователей и групп в демонстрационных целях.

1. Выполнив вход от имени администратора, запустите PowerShell.

2. Введите следующие команды:

   import-module ServerManager
   
   Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools
   
   Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
   

   Вам будет предложено ввести пароль администратора для безопасного режима. Обратит внимание, что появятся сообщения с предупреждениями для параметров делегирования DNS и криптографии. Это нормально.

3. После завершения создания леса выйдите из него. Сервер перезапустится автоматически.

4. После перезагрузки сервера войдите в CORPDC как администратор домена. Обычно это пользователь CONTOSO\Administrator, который будет иметь пароль, созданный при установке Windows в CORPDC.

Установка обновлений (только Windows Server 2012 R2)

1. Если вы решили использовать Windows Server 2012 R2 в качестве операционной системы для контроллера домена CORP, установите исправления 2919442, 2919355 и обновите 3155495 на контроллере домена CORP.

Создание группы

Создайте группу, которую будет аудировать Active Directory, если такая группа еще не существует. В качестве имени группы должно использоваться доменное имя NetBIOS с тремя знаками доллара, например CONTOSO$$$.

Для каждого домена войдите в контроллер домена с правами администратора домена и выполните следующие действия:

1. Запустите PowerShell.

2. Введите следующие команды, но вместо CONTOSO укажите имя NetBIOS домена.

   import-module activedirectory
   
   New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
   

В некоторых случаях группа может уже существовать — это нормально, если домен также использовался в сценариях миграции AD.

Создание дополнительных пользователей и групп для целей демонстрации

При создании нового домена CORP необходимо также создать дополнительных пользователей и группы для демонстрации сценария PAM. Пользователь и группы для целей демонстрации не должны быть администраторами домена или управляться параметрами adminSDHolder в AD.

Примечание

Если у вас уже есть домен, который вы будете использовать в качестве домена CORP, и у него есть пользователь и группа, которые можно использовать для демонстрационных целей, можно перейти к разделу Настройка аудита.

Мы собираемся создать группу безопасности с именем CorpAdmins и пользователя с именем Jen. При желании можете использовать другие имена. Если у вас уже есть пользователь, например со смарт-картой, вам не нужно будет создавать нового пользователя.

1. Запустите PowerShell.

2. Введите следующие команды: Замените пароль Pass@word1 на другой пароль.

   import-module activedirectory
   
   New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins
   
   New-ADUser –SamAccountName Jen –name Jen
   
   Add-ADGroupMember –identity CorpAdmins –Members Jen
   
   $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   Set-ADAccountPassword –identity Jen –NewPassword $jp
   
   Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
   

Настройка аудита

Необходимо включить аудит в существующих лесах, чтобы установить в них конфигурацию PAM.

Для каждого домена войдите в контроллер домена с правами администратора домена и выполните следующие действия:

1. Перейдите в меню Пуск>Администрирование Windows и запустите управление групповая политика.

2. Перейдите к политике контроллеров домена для данного домена. Если вы создали новый домен для contoso.local, перейдите в раздел Лес: contoso.local>Домены>contoso.local>Контроллеры> доменаПолитика контроллеров домена по умолчанию. Это информационное сообщение.

3. Щелкните правой кнопкой мыши политику контроллеров домена по умолчанию и выберите Изменить. Появится новое окно.

4. В окне редактора управления групповая политика в дереве Политика контроллеров домена по умолчанию выберитеПолитики>конфигурации> компьютераПараметры>Windows Параметры Безопасность Локальные>политики>Политика аудита.

5. В области сведений щелкните правой кнопкой мыши пункт Управление учетной записью аудита и выберите пункт Свойства. Установите флажок Определить следующие параметры политики, флажки Выполнено и Сбой, нажмите кнопку Применить, а затем ОК.

6. В области сведений щелкните правой кнопкой мыши пункт Доступ к службе каталогов аудита и выберите пункт Свойства. Установите флажок Определить следующие параметры политики, флажки Выполнено и Сбой, нажмите кнопку Применить, а затем ОК.

7. Закройте окно редактора управления групповыми политиками и окно управления групповыми политиками.

8. Примените параметры аудита, открыв окно PowerShell и выполнив следующую команду:

   gpupdate /force /target:computer
   

Через пару минут должно появиться сообщение Обновление политики для компьютера успешно завершено.

Настройте параметры реестра

В этом разделе вы настроите параметры реестра, необходимые для миграции журнала sID, которые будут использоваться для создания группы управления привилегированным доступом.

1. Запустите PowerShell.

2. Введите следующие команды, которые настроят исходный домен, чтобы в нем разрешался удаленный вызов процедур (RPC) для доступа к базе данных диспетчера учетных записей служб (SAM).

   New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
   
   Restart-Computer
   

Они перезапустят контроллер домена CORPDC. Дополнительные сведения об этом параметре реестра см. в статье Устранение неполадок при миграции параметров sIDHistory между лесами с помощью средства ADMTv2.

Подготовка ресурса CORP для демонстрационных целей

Вам потребуется по крайней мере один ресурс в домене для демонстрации управления доступом на основе групп безопасности с помощью PAM. Если у вас еще нет ресурса, для демонстрации можно использовать папку файлов на сервере, присоединенном к домену CORP . В данном случае будут использоваться объекты AD Jen и CorpAdmins, созданные в вашем домене contoso.local.

1. Подключитесь к серверу от имени администратора.

2. На компьютере CORPWKSTN создайте и сделайте общедоступной папку CorpFS с группой CorpAdmins. Откройте PowerShell от имени администратора и введите следующие команды.

   mkdir c:\corpfs
   
   New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins
   
   $acl = Get-Acl c:\corpfs
   
   $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")
   
   $acl.SetAccessRule($car)
   
   Set-Acl c:\corpfs $acl
   

3. Так как пользователь PRIV будет подключаться к этому серверу из другого леса, может потребоваться изменить конфигурацию брандмауэра на этом сервере, чтобы компьютер пользователя мог подключаться к этому серверу.

На следующем шаге вы подготовите контроллер домена PRIV.

Шаг 2 »