Шаг 7. Повышение прав доступа пользователя

" Шаг 6

На этом шаге показано, как пользователь может запросить доступ к роли с помощью MIM.

Убедитесь, что доступ к ресурсу ограничен.

Без повышенных привилегий учетная запись Джен не сможет получить доступ к привилегированным ресурсам в лесу CORP.

1. Выйдите из всех компьютеров, чтобы удалить кэшированные открытые подключения.
2. Войдите в PRIVWKSTN.
3. Откройте командную строку DOS.
4. Введите команду, для которой пользователю потребуется членство в группе безопасности. Например, если группа безопасности защищает возможность использования общей папки corpfs на компьютере CORPDC , введите dir \\corpdc\corpfs. Должно появиться сообщение об ошибке Доступ запрещен.
5. Не закрывайте окно командной строки.

Запрос привилегированного доступа из MIM

Примечание

Рекомендуем использовать рабочую станцию с привилегированным доступом (PAW). Дополнительные сведения см. в руководстве по защите устройств .

1. В PRIVWKSTN войдите как PRIV\priv.jen.

2. Запустите PowerShell.

3. Введите следующую команду.

   runas /user:Priv.Jen@priv.contoso.local powershell
   

4. При появлении запроса введите пароль для учетной PRIV.Jen записи. Появится новое окно командной строки.

5. Когда откроется окно Windows PowerShell, введите следующие команды:

   Примечание

   После выполнения этих команд все перечисленные ниже действия имеют ограничения по времени.

   Import-module MIMPAM
   $r = Get-PAMRoleForRequest | ? { $_.DisplayName –eq "CorpAdmins" }
   New-PAMRequest –role $r
   klist purge
   

6. Затем закройте окно PowerShell.

7. В командном окне введите следующую команду:

   runas /user:Priv.Jen@priv.contoso.local powershell
   

8. Введите пароль для учетной PRIV.Jen записи. Появится новое окно командной строки.

9. Убедитесь, что доступ с повышенными привилегиями в открывшемся окне предоставил пользователю новые членства в группах. Введите следующую команду.

   whoami /groups
   

10. Затем введите команду, которая ранее на этом шаге была заблокирована из-за отсутствия доступа. Например, если ресурс был файловой папкой corpfs, введите следующую команду.

    dir \\corpdc\corpfs
    

    Если команда dir завершается сбоем с сообщением об ошибке Доступ запрещен, проверьте отношение доверия еще раз.

Сводка

Теперь, когда вы выполнили это пошаговое руководство, вы продемонстрировали сценарий управления привилегированным доступом. В этом сценарии привилегии пользователей были повышены в течение ограниченного периода времени, что позволило пользователю получить доступ к защищенным ресурсам с помощью отдельной привилегированной учетной записи. Сразу после окончания сеанса повышение прав привилегированная учетная запись теряет доступ к защищенному ресурсу. Затем, после переноса прав доступа в систему управления привилегированным доступом, доступ, который был постоянно доступен для исходной учетной записи пользователя, будет возможен только для специальных учетных записей по запросу. В результате членство в группах для групп с высоким уровнем привилегий доступно только в течение ограниченного периода времени.

" Шаг 6