Шаг 6. Перевод группы в управление привилегированных доступом (PAM)
Привилегированная учетная запись создается в лесу PRIV с помощью командлетов PowerShell. Они выполняют следующие действия.
- Создайте в лесу PRIV новую группу с таким же идентификатором безопасности (SID), как у группы в лесу CORP.
- Создайте в базе данных службы MIM объект, соответствующей группе в лесу PRIV.
- Для каждой учетной записи пользователя создаются два объекта в базе данных службы MIM, соответствующие данному пользователю в лесу CORP и новой учетной записи пользователя в лесу PRIV.
- Создают объект роли PAM в базе данных службы MIM.
Эти командлеты необходимо выполнить один раз для каждой группы и один раз для каждого члена группы. Командлеты миграции не меняют каких-либо пользователей или группы в лесу CORP, впоследствии администратор PAM должен будет сделать это вручную.
Войдите в PAMSRV напрямую или с рабочей станции PRIV как PRIV\MIMAdmin.
Запустите PowerShell и введите следующие команды:
Import-Module MIMPAM
Import-Module ActiveDirectory
В PRIV создайте соответствующую учетную запись для пользователя в существующем лесу в целях демонстрации.
В PowerShell введите следующие команды: Если вы не использовали имя Jen для создания пользователя в contoso.local ранее, измените параметры команды соответствующим образом. Пароль Pass@word1 указан для примера, и его необходимо заменить на уникальное значение.
$sj = New-PAMUser –SourceDomain CONTOSO.local –SourceAccountName Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity priv.Jen –NewPassword $jp Set-ADUser –identity priv.Jen –Enabled 1Для целей демонстрации скопируйте группу и ее члена Jen из CONTOSO в домен PRIV.
Выполните следующие команды, указав пароль администратора домена CORP (CONTOSO\Administrator) при появлении запроса:
$ca = get-credential –UserName CONTOSO\Administrator –Message "CORP forest domain admin credentials" $pg = New-PAMGroup –SourceGroupName "CorpAdmins" –SourceDomain CONTOSO.local –SourceDC CORPDC.contoso.local –Credentials $ca $pr = New-PAMRole –DisplayName "CorpAdmins" –Privileges $pg –Candidates $sjКоманда New-PAMGroup принимает следующие параметры:
- имя леса домена CORP в формате NetBIOS;
- имя группы, которая будет скопирована из этого домена;
- NetBIOS-имя контроллера домена леса COPR;
- учетные данные администратора домена в лесу CORP.
На компьютере CORPDC удалите учетную запись Jen из группы CONTOSO CorpAdmins, если она все еще присутствует (по желанию). Она нужна только для демонстрации, чтобы показать, как сопоставить разрешения с учетными записями, созданными в лесу PRIV.
Войдите на компьютер CORPDC как CONTOSO\Administrator.
Запустите PowerShell, выполните следующую команду и подтвердите изменение.
Remove-ADGroupMember -identity "CorpAdmins" -Members "Jen"
Если вы хотите проверить действительность прав доступа между лесами для административной учетной записи пользователя, перейдите к следующему шагу.