Поделиться через

Шаг 2. Подготовка первого контроллера домена PRIV

  • Статья

"Шаг 1Шаг 3"

На этом шаге вы создадите новый домен, который предоставит среду бастиона для проверки подлинности администратора. В этом лесу потребуется по крайней мере один контроллер домена, рабочая станция-член и по крайней мере один сервер-член. Сервер-член будет настроен на следующем шаге.

Создание контроллера домена управления привилегированным доступом

В этом разделе вы настроите виртуальную машину для работы в качестве контроллера домена для нового леса.

Установка Windows Server 2016 или более поздней версии

На другой новой виртуальной машине без установленного программного обеспечения установите Windows Server 2016 или более поздней версии, чтобы сделать компьютер PRIVDC.

  1. Выберите, чтобы выполнить выборочную установку Windows Server (а не обновление). При установке укажите Windows Server 2016 (сервер с рабочим столом); Не выбирайте центр обработки данных или серверную ядро.

  2. Просмотрите и примите лицензионные условия.

  3. Так как диск будет пустым, выберите "Настраиваемый": установите только Windows и используйте неинициализированное место на диске.

  4. После установки версии операционной системы войдите на новый компьютер в качестве нового администратора. Используйте панель управления, чтобы задать имя компьютера PRIVDC. В параметрах сети предоставьте ему статический IP-адрес в виртуальной сети и настройте DNS-сервер таким образом, чтобы контроллер домена был установлен на предыдущем шаге. Необходимо перезапустить сервер.

  5. После перезапуска сервера войдите от имени администратора. С помощью панели управления настройте компьютер для проверки обновлений и установите все необходимые обновления. Установка обновлений может потребовать перезагрузки сервера.

Добавить роли

Добавьте роли служб домен Active Directory (AD DS) и DNS-сервера.

  1. Запустите PowerShell от имени администратора.

  2. Введите следующие команды, чтобы подготовиться к установке Windows Server Active Directory.

    import-module ServerManager

Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools

Настройка параметров реестра для миграции журнала БЕЗОПАСНОСТИ

Запустите PowerShell и введите следующую команду, чтобы настроить исходный домен для разрешения удаленного вызова процедур (RPC) к базе данных диспетчера учетных записей безопасности (SAM).

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Создание нового леса управления привилегированным доступом

Затем перейдите к контроллеру домена нового леса.

В этом руководстве имя priv.contoso.local используется в качестве доменного имени нового леса. Имя леса не является критическим, и его не нужно подчинить существующему имени леса в организации. Тем не менее имя домена и имя NetBIOS нового леса должны быть уникальными и отличаться от имен других доменов в организации.

Создание домена и леса

  1. В окне PowerShell введите следующие команды, чтобы создать новый домен. Эти команды также создадут делегирование DNS в превосходном домене (contoso.local), созданном на предыдущем шаге. Если вы планируете настроить DNS позже, опустите CreateDNSDelegation -DNSDelegationCredential $ca параметры.

    $ca= get-credential
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca

  2. Когда появится всплывающее окно для настройки делегирования DNS, укажите учетные данные администратора леса CORP, который в этом руководстве был именем пользователя CONTOSO\Administrator, и соответствующим паролем из шага 1.

  3. В окне PowerShell появится запрос на использование пароля администратора безопасного режима. Дважды введите новый пароль. Будут отображаться предупреждения для делегирования DNS и параметров шифрования; это нормально.

После создания леса сервер перезагрузится автоматически.

Создание учетных записей пользователей и служб

Создайте учетные записи пользователей и служб для настройки службы MIM и портала. Эти учетные записи будут доступны в контейнере Users домена priv.contoso.local.

  1. После перезапуска сервера войдите в PRIVDC в качестве администратора домена (PRIV\Administrator).

  2. Запустите PowerShell и введите следующие команды. Пароль "Pass@word1" является лишь примером, и вы должны использовать другой пароль для учетных записей.

    import-module activedirectory

$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMMA –name MIMMA

Set-ADAccountPassword –identity MIMMA –NewPassword $sp

Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor

Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp

Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent

Set-ADAccountPassword –identity MIMComponent –NewPassword $sp

Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMSync –name MIMSync

Set-ADAccountPassword –identity MIMSync –NewPassword $sp

Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMService –name MIMService

Set-ADAccountPassword –identity MIMService –NewPassword $sp

Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SharePoint –name SharePoint

Set-ADAccountPassword –identity SharePoint –NewPassword $sp

Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SqlServer –name SqlServer

Set-ADAccountPassword –identity SqlServer –NewPassword $sp

Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName BackupAdmin –name BackupAdmin

Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp

Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1

New-ADUser -SamAccountName MIMAdmin -name MIMAdmin

Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp

Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1

Add-ADGroupMember "Domain Admins" SharePoint

Add-ADGroupMember "Domain Admins" MIMService

Настройте права аудита и входа в систему.

Для установки конфигурации PAM в лесах необходимо настроить аудит.

  1. Убедитесь, что вы выполнили вход в качестве администратора домена (PRIV\Administrator).

  2. Перейдите к началу >управления групповыми политиками> windows с помощью администрирования Windows.

  3. Перейдите в лес: priv.contoso.local>Domains>priv.contoso.local>Domain Controllers Default Domain Controllers>Policy. Появится предупреждение.

  4. Щелкните правой кнопкой мыши политику контроллеров домена по умолчанию и выберите "Изменить".

  5. В дереве консоли "Редактор управления групповыми политиками" перейдите к политикам конфигурации>>компьютеров>параметров безопасности параметров безопасности локальных>политик>аудита.

  6. В области "Сведения" щелкните правой кнопкой мыши управление учетными записями аудита и выберите "Свойства". Нажмите кнопку "Определить эти параметры политики", установите флажок "Успех", установите флажок "Сбой", нажмите кнопку "Применить" и "ОК".

  7. В области "Сведения" щелкните правой кнопкой мыши доступ к службе каталогов аудита и выберите "Свойства". Нажмите кнопку "Определить эти параметры политики", установите флажок "Успех", установите флажок "Сбой", нажмите кнопку "Применить" и "ОК".

  8. Перейдите к политикам конфигурации>компьютера Windows Settings Security Settings>>Account Policies>>Kerberos Policy.

  9. В области сведений щелкните правой кнопкой мыши максимальное время существования билета пользователя и выберите "Свойства". Нажмите кнопку "Определить эти параметры политики", задайте для параметра 1 количество часов, нажмите кнопку "Применить", а затем нажмите кнопку "ОК". Обратите внимание, что изменятся и другие параметры в этом окне.

  10. В окне "Управление групповыми политиками" выберите политику домена по умолчанию, щелкните правой кнопкой мыши и выберите "Изменить".

  11. Разверните политики>конфигурации>компьютера с параметрами безопасности параметров безопасности локальных>>политик и выберите назначение прав пользователя.

  12. На панели "Сведения" щелкните правой кнопкой мыши вход в систему в качестве пакетного задания и выберите "Свойства".

  13. Установите флажок "Определить эти параметры политик", нажмите кнопку "Добавить пользователя или группу", а затем в поле "Имена пользователей и групп", введите priv\mimmonitor; priv\MIMService; priv\mimcomponent и нажмите кнопку "ОК".

  14. Нажмите кнопку ОК , чтобы закрыть окно.

  15. В области "Сведения" щелкните правой кнопкой мыши вход в систему через службы удаленных рабочих столов и выберите "Свойства".

  16. Установите флажок "Определить эти параметры политик", нажмите кнопку "Добавить пользователя или группу" и в поле "Имена пользователей и групп", введите priv\mimmonitor; priv\MIMService; priv\mimcomponent и нажмите кнопку "ОК".

  17. Нажмите кнопку ОК , чтобы закрыть окно.

  18. Закройте окно редактора управления групповыми политиками и окно управления групповыми политиками.

  19. Откройте окно PowerShell от имени администратора и введите следующую команду, чтобы обновить контроллер домена согласно параметрам групповой политики.

    gpupdate /force /target:computer

    Через минуту сообщение "Обновление политики компьютера успешно завершено".

Настройте направление имен DNS на PRIVDC.

С помощью PowerShell в PRIVDC настройте перенаправление DNS-имен, чтобы домен PRIV распознал другие существующие леса.

  1. Запустите PowerShell.

  2. Для каждого домена в верхней части каждого существующего леса введите следующую команду. В этой команде укажите существующий домен DNS (например, contoso.local) и IP-адреса основных DNS-серверов этого домена.

    Если вы создали один домен contoso.local на предыдущем шаге с IP-адресом виртуальной сети компьютера CORPDC в качестве IP-адреса, укажите 10.1.1.31 для IP-адреса виртуальной сети компьютера CORPDC.

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31

Примечание.

Другие леса также должны иметь возможность направлять DNS-запросы для леса PRIV на этот контроллер домена. Если у вас несколько существующих лесов Active Directory, необходимо также добавить условный сервер пересылки DNS в каждый из этих лесов.

Настройка Kerberos

  1. С помощью PowerShell добавьте имена субъектов-служб, чтобы SharePoint, PAM REST API и служба MIM могли использовать проверку подлинности Kerberos.

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
setspn -S http/pamsrv PRIV\SharePoint
setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
setspn -S FIMService/pamsrv PRIV\MIMService

Примечание.

В следующих шагах этого документа описывается установка компонентов сервера MIM 2016 на одном компьютере. Если вы планируете добавить другой сервер для обеспечения высокой доступности, вам потребуется дополнительная конфигурация Kerberos, как описано в fiM 2010: программа установки проверки подлинности Kerberos.

Настройка делегирования для предоставления доступа к учетным записям службы MIM

Выполните следующие действия в PRIVDC в качестве администратора домена.

  1. Запустите Пользователи и компьютеры Active Directory.

  2. Щелкните правой кнопкой мыши домен priv.contoso.local и выберите "Делегирование управления".

  3. На вкладке "Выбранные пользователи и группы" нажмите кнопку "Добавить".

  4. В окне выбора пользователей, компьютеров или групп введите mimcomponent; mimmonitor; mimservice и нажмите кнопку " Проверить имена". После подчеркиванием имен нажмите кнопку "ОК" и "Далее".

  5. В списке распространенных задач выберите "Создать, удалить и управлять учетными записями пользователей" и "Изменить членство в группе", а затем нажмите кнопку "Далее" и "Готово".

  6. Снова щелкните правой кнопкой мыши домен priv.contoso.local и выберите "Делегирование управления".

  7. На вкладке "Выбранные пользователи и группы" нажмите кнопку "Добавить".

  8. В окне выбора пользователей, компьютеров или групп введите MIMAdmin и нажмите кнопку " Проверить имена". После подчеркиванием имен нажмите кнопку "ОК" и "Далее".

  9. Выберите пользовательскую задачу, применить к этой папке с общими разрешениями.

  10. В списке разрешений выберите следующие разрешения:

    • Чтение
    • Запись
    • Создание всех дочерних объектов
    • Удаление всех дочерних объектов
    • Чтение всех свойств
    • Запись всех свойств
    • Перенос журнала безопасности безопасности

  11. Нажмите кнопку "Далее", а затем "Готово".

  12. Еще раз щелкните правой кнопкой мыши домен priv.contoso.local и выберите "Делегирование управления".

  13. На вкладке "Выбранные пользователи и группы" нажмите кнопку "Добавить".

  14. В окне выбора пользователей, компьютеров или групп введите MIMAdmin и нажмите кнопку "Проверить имена". После подчеркиванием имен нажмите кнопку "ОК", а затем " Далее".

  15. Выберите пользовательскую задачу, примените ее к этой папке, а затем щелкните только объекты User.

  16. В списке разрешений выберите "Изменить пароль " и "Сбросить пароль". Затем нажмите кнопку "Далее", а затем "Готово".

  17. Закройте окно "Пользователи и компьютеры Active Directory".

  18. Откройте командную строку.

  19. Просмотрите список управления доступом в объекте администратора SD Holder в доменах PRIV. Например, если домен был priv.contoso.local, введите команду:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"

  20. Обновите список управления доступом по мере необходимости, чтобы служба MIM и служба компонентов PAM MIM могли обновлять членство в группах, защищенных этим списком ACL. Введите команду:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"

Настройка PAM в Windows Server 2016

Затем авторизуйте администраторов MIM и учетную запись службы MIM для создания и обновления теневых субъектов.

  1. Включить функции управления привилегированным доступом в Windows Server 2016 Active Directory присутствуют и включены в лесу PRIV. Запустите окно PowerShell от имени администратора и введите следующие команды.

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"

  2. Запустите окно PowerShell и введите ADSIEdit.

  3. Откройте меню "Действия" и нажмите кнопку "Подключиться к". В параметре точки подключения измените контекст именования с "Контекст именования по умолчанию" на "Конфигурация" и нажмите кнопку "ОК".

  4. После подключения в левой части окна ниже "AdI Edit" разверните узел конфигурации, чтобы увидеть "CN=Configuration,DC=priv,....". Разверните узел CN=Configuration и разверните узел CN=Services.

  5. Щелкните правой кнопкой мыши команду "CN=Shadow Principal Configuration" (Конфигурация субъекта-тени) и выберите пункт "Свойства". При появлении диалогового окна свойств перейдите на вкладку безопасности.

  6. Нажмите кнопку Добавить. Укажите учетные записи MIMService, а также другие администраторы MIM, которые позже будут выполнять New-PAMGroup для создания дополнительных групп PAM. Для каждого пользователя в списке разрешенных разрешений добавьте "Запись", "Создать все дочерние объекты" и "Удалить все дочерние объекты". Добавьте разрешения.

  7. Перейдите к параметрам расширенной безопасности. В строке, которая разрешает доступ MIMService, нажмите кнопку "Изменить". Измените параметр "Область применения" на "для этого объекта и всех потомков". Обновите этот параметр разрешения и закройте диалоговое окно безопасности.

  8. Закройте окно ADSI Edit.

  9. Затем авторизуйте администраторов MIM для создания и обновления политики проверки подлинности. Запустите командную строку с повышенными привилегиями и введите следующие команды, заменив имя учетной записи администратора MIM на "Mimadmin" в каждой из четырех строк:

    dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s

dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo

  10. Перезапустите сервер PRIVDC, чтобы эти изменения вступили в силу.

Подготовка рабочей станции PRIV

Следуйте этим инструкциям, чтобы подготовить рабочую станцию. Эта рабочая станция будет присоединена к домену PRIV для выполнения обслуживания ресурсов PRIV (например, MIM).

Установка Windows 10 Корпоративная

На другой новой виртуальной машине без установленного программного обеспечения установите Windows 10 Корпоративная, чтобы сделать компьютер PRIVWKSTN.

  1. При установке используйте экспресс-параметры.

  2. Обратите внимание, что при установке может быть не установлено подключение к Интернету. Щелкните, чтобы создать локальную учетную запись. Укажите другое имя пользователя. Не используйте имена Administrator и Jen.

  3. Используя панель управления, присвойте этому компьютеру статический IP-адрес виртуальной сети и задайте предпочтительный DNS-сервер интерфейса для сервера PRIVDC.

  4. Используя панель управления, домен присоединит компьютер PRIVWKSTN к домену priv.contoso.local. На этом шаге потребуется предоставить учетные данные администратора домена PRIV. После завершения перезагрузите компьютер PRIVWKSTN.

  5. Установите распространяемые пакеты Visual C++ 2013 для 64-разрядной версии Windows.

Дополнительные сведения см. в статье о защите рабочих станций привилегированного доступа.

На следующем шаге вы подготовите сервер PAM.

"Шаг 1Шаг 3"