Steg 1 – förbereda värden och CORP-domänen

Steg 2 »

I det här steget förbereder du dig för att vara värd för miljön som ska hanteras av PAM. Om det behövs skapar du även en domänkontrollant och en medlemsarbetsstation i en ny domän och skog ( CORP-skogen ). Åtkomsten till skogen kommer från identiteter som ska hanteras av skyddsmiljön, med en PRIV-skog , som skapas i nästa steg. Den här CORP-skogen simulerar en befintlig skog som har resurser som ska hanteras. I det här dokumentet finns en exempelresurs som ska skyddas, en filresurs.

Om du redan har en befintlig Active Directory-domän (AD) med en domänkontrollant som kör Windows Server 2012 R2 eller senare, där du är domänadministratör, kan du använda domänen i stället och gå vidare till avsnittet "Skapa en grupp" i den här artikeln.

Förbereda CORP-domänkontrollanten

I det här avsnittet beskrivs hur du konfigurerar en domänkontrollant för en CORP-domän. I CORP-domänen hanteras de administrativa användare av skyddsmiljön. I det här exemplet används contoso.local som DNS-namn (Domain Name System) för CORP-domänen.

Installera Windows Server

Installera Windows Server 2016 eller senare på en virtuell dator för att skapa en dator med namnet CORPDC.

1. Välj Windows Server 2016 (Server med skrivbordsmiljö).

2. Granska och godkänn licensvillkoren.

3. Eftersom disken kommer att vara tom väljer du Anpassad: Installera endast Windows och använd det oinitierade diskutrymmet.

4. Logga in på den nya datorn som administratör. Gå till Kontrollpanelen. Ange datornamnet till CORPDC, och tilldela en statisk IP-adress på det virtuella nätverket. Starta om servern.

5. När servern har startats om loggar du in som administratör. Gå till Kontrollpanelen. Konfigurera datorn att söka efter uppdateringar och installera de uppdateringar som krävs. Starta om servern.

Lägga till roller för att upprätta en domänkontrollant

I det här avsnittet konfigurerar du den nya Windows Server för att bli en domänkontrollant. Du lägger till rollerna Active Directory Domain Services (AD DS), DNS Server och Filserver (del av avsnittet Fil- och lagringstjänster) och befordrar den här servern till en domänkontrollant för en ny skog contoso.local.

Anteckning

Om du redan har en domän att använda som CORP-domän och domänen använder Windows Server 2012 R2 eller senare som domänfunktionsnivå kan du gå vidare till Skapa ytterligare användare och grupper i demonstrationssyfte.

1. När du är inloggad som administratör startar du PowerShell.

2. Skriv in följande kommandon:

   import-module ServerManager
   
   Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools
   
   Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork
   

   En uppmaning visas om att du ska ange ett administratörslösenord för säkert läge. Obs! Varningsmeddelanden för DNS-delegering och kryptografiinställningar visas. Det är normalt.

3. Logga ut när skogen har skapats. Servern startas om automatiskt.

4. När servern har startats om logga du in på CORPDC som administratör för domänen. Detta är vanligtvis användaren CONTOSO\Administrator, som har lösenordet som skapades när du installerade Windows på CORPDC.

Installera uppdateringar (endast Windows Server 2012 R2)

1. Om du väljer att använda Windows Server 2012 R2 som operativsystem för CORPDC, måste du installera snabbkorrigeringar 2919442, 2919355, och uppdatera 3155495 på CORPDC.

Skapa en grupp

Skapa en grupp för granskning av Active Directory om gruppen inte redan finns. Namnet på gruppen måste vara NetBIOS-domännamnet följt av tre dollartecken, till exempel CONTOSO$$$.

Logga in på en domänkontrollant som domänadministratör för varje domän och utför följande steg:

1. Starta PowerShell.

2. Skriv följande kommandon, men ersätt "CONTOSO" med NetBIOS-namnet på din domän.

   import-module activedirectory
   
   New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
   

I vissa fall kan gruppen redan finnas. Det är normalt om domänen också har använts i AD-migreringsscenarier.

Skapa ytterligare användare och grupper i exempelsyfte

Om du har skapat en ny CORP-domän bör du skapa ytterligare användare och grupper för att visa PAM-scenariot. De användare och grupper du skapar i exempelsyfte bör inte vara domänadministratörer eller styras av inställningarna för adminSDHolder i AD.

Anteckning

Om du redan har en domän som du kommer att använda som CORP-domän och den har en användare och en grupp som du kan använda i demonstrationssyfte kan du gå vidare till avsnittet Konfigurera granskning.

Vi ska skapa en säkerhetsgrupp med namnet CorpAdmins och en användare med namnet Lisa. Du kan använda olika namn om du vill. Om du redan har en befintlig användare, t.ex. med ett smartkort, behöver du inte skapa en ny användare.

1. Starta PowerShell.

2. Skriv in följande kommandon: Ersätt lösenordet 'Pass@word1' med ett annat lösenord.

   import-module activedirectory
   
   New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins
   
   New-ADUser –SamAccountName Jen –name Jen
   
   Add-ADGroupMember –identity CorpAdmins –Members Jen
   
   $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   Set-ADAccountPassword –identity Jen –NewPassword $jp
   
   Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
   

Konfigurera granskning

Du måste aktivera granskning i befintliga skogar för att upprätta PAM-konfigurationen på de skogarna.

Logga in på en domänkontrollant som domänadministratör för varje domän och utför följande steg:

1. Gå till Starta>Administrationsverktyg för Windows och starta grupprincip Management.

2. Gå till domänens princip för domänkontrollanter. Om du har skapat en ny domän för contoso.local går du till Skog: contoso.local>Domäner>contoso.local>Domänkontrollanter>Standardprincip för domänkontrollanter. Ett informationsmeddelande visas.

3. Högerklicka på Standardprincip för domänkontrollanter och välj Redigera. Ett nytt fönster visas.

4. I fönstret grupprincip Hanteringsredigeraren går du till Principträd för standarddomänkontrollanter och går till Datorkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Granskningsprincip förlokala principer>.

5. Högerklicka på Granska kontohantering i informationsfönstret och välj Egenskaper. Välj Definiera följande principinställningar, markera kryssrutorna Lyckade och Misslyckade och klicka på Tillämpa och OK.

6. Högerklicka på Granska katalogtjänståtkomst i informationsfönstret och välj Egenskaper. Välj Definiera följande principinställningar, markera kryssrutorna Lyckade och Misslyckade och klicka på Tillämpa och OK.

7. Stäng fönstren Redigeraren Grupprinciphantering och Grupprinciphantering.

8. Tillämpa granskningsinställningarna genom att öppna ett PowerShell-fönster och skriva:

   gpupdate /force /target:computer
   

Meddelandet Uppdatering av grupprincip har slutförts visas efter några minuter.

Konfigurera registerinställningar

I det här avsnittet konfigurerar du de registerinställningar som behövs för migrering av sID-historik, som används för att skapa privilegierade åtkomsthanteringsgrupper.

1. Starta PowerShell.

2. Skriv följande kommandon för att konfigurera källdomänen att tillåta RPC-åtkomst (Remote Procedure Call) till databasen för hanteraren för kontosäkerhet (SAM).

   New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1
   
   Restart-Computer
   

Domänkontrollanten CORPDC startas om. Mer information om den här registerinställningen finns i Felsöka sIDHistory-migrering mellan skogar med ADMTv2.

Förbereda en CORP-resurs i demonstrationssyfte

Du behöver minst en resurs i domänen för att demonstrera den säkerhetsgruppbaserade åtkomstkontrollen med PAM. Om du inte redan har en resurs kan du använda en filmapp på en server som är ansluten till CORP-domänen i demonstrationssyfte. Här används AD-objekten "Lisa" och "CorpAdmins" som du skapade i domänen contoso.local.

1. Anslut till servern som administratör.

2. Skapa en ny mapp med namnet CorpFS och dela den med gruppen CorpAdmins. Öppna PowerShell som administratör och skriv följande kommandon.

   mkdir c:\corpfs
   
   New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins
   
   $acl = Get-Acl c:\corpfs
   
   $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow")
   
   $acl.SetAccessRule($car)
   
   Set-Acl c:\corpfs $acl
   

3. Eftersom PRIV-användaren ansluter till den här servern från en annan skog kan du behöva ändra brandväggskonfigurationen på den här servern så att användarens dator kan ansluta till den här servern.

I nästa steg förbereder du PRIV-domänkontrollanten.

Steg 2 »