Dela via

Steg 2 – Förbereda den första PRIV-domänkontrollanten

  • Artikel

« Steg 1Steg 3 »

I det här steget skapar du en ny domän som tillhandahåller skyddsmiljön för administratörsautentisering. Den här skogen behöver minst en domänkontrollant, en medlemsarbetsstation och minst en medlemsserver. Medlemsservern konfigureras i nästa steg.

Skapa en ny domänkontrollant för privilegierad åtkomsthantering

I det här avsnittet konfigurerar du en virtuell dator för att fungera som domänkontrollant för en ny skog.

Installera Windows Server 2016 eller senare

Installera Windows Server 2016 eller senare för att göra en dator till "PRIVDC" på en annan ny virtuell dator utan installerad programvara.

  1. Välj att utföra en anpassad installation (inte uppgradering) av Windows Server. När du installerar anger du Windows Server 2016 (Server med skrivbordsmiljö); välj inte Data Center eller Server Core.

  2. Granska och godkänn licensvillkoren.

  3. Eftersom disken är tom väljer du Anpassad: Installera endast Windows och använd det oinitierade diskutrymmet.

  4. När du har installerat operativsystemversionen loggar du in på den nya datorn som ny administratör. Använd Kontrollpanelen för att ange datornamnet till PRIVDC. I nätverksinställningar ger du den en statisk IP-adress i det virtuella nätverket och konfigurerar DNS-servern så att den är den domänkontrollant som installerades i föregående steg. Du måste starta om servern.

  5. När servern har startats om loggar du in som administratör. Med hjälp av Kontrollpanelen konfigurerar du datorn för att söka efter uppdateringar och installerar eventuella uppdateringar som behövs. Installation av uppdateringar kan kräva en omstart av servern.

Lägga till roller

Lägg till rollerna Active Directory-domän Services (AD DS) och DNS Server.

  1. Starta PowerShell som administratör.

  2. Skriv följande kommandon för att förbereda för en Windows Server Active Directory-installation.

    import-module ServerManager

Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools

Konfigurera registerinställningar för SID-historikmigrering

Starta PowerShell och skriv följande kommando för att konfigurera källdomänen så att RPC-åtkomst (Remote Procedure Call) tillåts till SAM-databasen (Security Accounts Manager).

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

Skapa en ny skog för privilegierad åtkomsthantering

Flytta sedan upp servern till en domänkontrollant för en ny skog.

I den här guiden används namnet priv.contoso.local som domännamn för den nya skogen. Namnet på skogen är inte kritiskt och behöver inte vara underordnat ett befintligt skogsnamn i organisationen. Både domän- och NetBIOS-namnen för den nya skogen måste dock vara unika och skilja sig från andra domäner i organisationen.

Skapa en domän och skog

  1. I ett PowerShell-fönster skriver du följande kommandon för att skapa den nya domänen. Dessa kommandon skapar också en DNS-delegering i en överlägsen domän (contoso.local), som skapades i ett tidigare steg. Om du tänker konfigurera DNS senare utelämnar du parametrarna CreateDNSDelegation -DNSDelegationCredential $ca .

    $ca= get-credential
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca

  2. När popup-fönstret visas för att konfigurera DNS-delegering anger du autentiseringsuppgifterna för CORP-skogsadministratören, som i den här guiden var användarnamnet CONTOSO\Administrator och motsvarande lösenord från steg 1.

  3. PowerShell-fönstret uppmanar dig att ange ett administratörslösenord för felsäkert läge som ska användas. Ange ett nytt lösenord två gånger. Varningsmeddelanden för DNS-delegering och kryptografiinställningar visas. dessa är normala.

När skogen har skapats startar servern om automatiskt.

Skapa användar- och tjänstkonton

Skapa användar- och tjänstkontona för MIM-tjänsten och portalkonfigurationen. Dessa konton hamnar i containern Användare i domänen priv.contoso.local.

  1. När servern har startats om loggar du in på PRIVDC som domänadministratör (PRIV\Administratör).

  2. Starta PowerShell och skriv följande kommandon. Lösenordet "Pass@word1" är bara ett exempel och du bör använda ett annat lösenord för kontona.

    import-module activedirectory

$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMMA –name MIMMA

Set-ADAccountPassword –identity MIMMA –NewPassword $sp

Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor

Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp

Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent

Set-ADAccountPassword –identity MIMComponent –NewPassword $sp

Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMSync –name MIMSync

Set-ADAccountPassword –identity MIMSync –NewPassword $sp

Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMService –name MIMService

Set-ADAccountPassword –identity MIMService –NewPassword $sp

Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SharePoint –name SharePoint

Set-ADAccountPassword –identity SharePoint –NewPassword $sp

Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SqlServer –name SqlServer

Set-ADAccountPassword –identity SqlServer –NewPassword $sp

Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName BackupAdmin –name BackupAdmin

Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp

Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1

New-ADUser -SamAccountName MIMAdmin -name MIMAdmin

Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp

Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1

Add-ADGroupMember "Domain Admins" SharePoint

Add-ADGroupMember "Domain Admins" MIMService

Konfigurera gransknings- och inloggningsrättigheter

Du måste konfigurera granskning för att PAM-konfigurationen ska upprättas mellan skogar.

  1. Kontrollera att du är inloggad som domänadministratör (PRIV\Administratör).

  2. Gå till Starta>Administrationsverktyg> för Windows grupprincip hantering.

  3. Navigera till Skog: priv.contoso.local>Domäner>priv.contoso.local>Domänkontrollanter>Standardprincip för domänkontrollanter. Ett varningsmeddelande visas.

  4. Högerklicka på standardprincipen för domänkontrollanter och välj Redigera.

  5. I konsolträdet grupprincip Hanteringsredigeraren går du till Datorkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Granskningsprincip för lokala principer.>

  6. I fönstret Information högerklickar du på Granskningskontohantering och väljer Egenskaper. Klicka på Definiera de här principinställningarna, markera kryssrutan Lyckades , markera kryssrutan Fel , klicka på Tillämpa och sedan PÅ OK.

  7. I fönstret Information högerklickar du på Granska katalogtjänstens åtkomst och väljer Egenskaper. Klicka på Definiera de här principinställningarna, markera kryssrutan Lyckades , markera kryssrutan Fel , klicka på Tillämpa och sedan PÅ OK.

  8. Gå till Datorkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Kontoprinciper>Kerberos-princip.

  9. I fönstret Information högerklickar du på Maximal livslängd för användarbiljett och väljer Egenskaper. Klicka på Definiera dessa principinställningar, ange antalet timmar till 1, klicka på Använd och sedan PÅ OK. Observera att även andra inställningar i fönstret ändras.

  10. I fönstret grupprincip Hantering väljer du Standarddomänprincip, högerklickar och väljer Redigera.

  11. Expandera Datorkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Lokala principer och välj Tilldelning av användarrättigheter.

  12. I fönstret Information högerklickar du på Neka inloggning som ett batchjobb och väljer Egenskaper.

  13. Markera kryssrutan Definiera dessa principinställningar , klicka på Lägg till användare eller grupp. I fältet Användar- och gruppnamn skriver du priv\mimmonitor; priv\MIMService; priv\mimcomponent och klickar på OK.

  14. Stäng fönstret genom att klicka på OK .

  15. I fönstret Information högerklickar du på Neka inloggning via Fjärrskrivbordstjänster och väljer Egenskaper.

  16. Klicka på kryssrutan Definiera dessa principinställningar , klicka på Lägg till användare eller grupp. I fältet Användar- och gruppnamn skriver du priv\mimmonitor; priv\MIMService; priv\mimcomponent och klickar på OK.

  17. Stäng fönstret genom att klicka på OK .

  18. Stäng fönstret grupprincip Management Editor och fönstret grupprincip Management.

  19. Starta ett PowerShell-fönster som administratör och skriv följande kommando för att uppdatera domänkontrollanten från grupprincipinställningarna.

    gpupdate /force /target:computer

    Efter en minut slutförs meddelandet "Uppdateringen av datorprincipen har slutförts".

Konfigurera VIDAREBEFORDRAn av DNS-namn på PRIVDC

Använd PowerShell på PRIVDC och konfigurera DNS-namnvidarebefordring för att PRIV-domänen ska kunna identifiera andra befintliga skogar.

  1. Starta PowerShell.

  2. För varje domän överst i varje befintlig skog skriver du följande kommando. I det kommandot anger du den befintliga DNS-domänen (till exempel contoso.local) och IP-adresserna för domänens primära DNS-servrar.

    Om du skapade en domän contoso.local i föregående steg med 10.1.1.31 som IP-adress anger du 10.1.1.31 för CORPDC-datorns VIRTUELLA nätverks-IP-adress.

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31

Kommentar

De andra skogarna måste också kunna dirigera DNS-frågor för PRIV-skogen till den här domänkontrollanten. Om du har flera befintliga Active Directory-skogar måste du också lägga till en VILLKORLIG DNS-vidarebefordrare till var och en av dessa skogar.

Konfigurera Kerberos

  1. Använd PowerShell och lägg till SPN så att SharePoint, PAM REST API och MIM-tjänsten kan använda Kerberos-autentisering.

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
setspn -S http/pamsrv PRIV\SharePoint
setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
setspn -S FIMService/pamsrv PRIV\MIMService

Kommentar

I nästa steg i det här dokumentet beskrivs hur du installerar MIM 2016-serverkomponenter på en enda dator. Om du planerar att lägga till en annan server för hög tillgänglighet behöver du ytterligare Kerberos-konfiguration enligt beskrivningen i FIM 2010: Installation av Kerberos-autentisering.

Konfigurera delegering för att ge ÅTKOMST till MIM-tjänstkonton

Utför följande steg på PRIVDC som domänadministratör.

  1. Starta Active Directory - användare och datorer.

  2. Högerklicka på domänen priv.contoso.local och välj Delegera kontroll.

  3. På fliken Valda användare och grupper klickar du på Lägg till.

  4. I fönstret Välj användare, Datorer eller Grupper skriver mimcomponent; mimmonitor; mimservice du och klickar på Kontrollera namn. När namnen är understrukna klickar du på OK och sedan på Nästa.

  5. I listan över vanliga uppgifter väljer du Skapa, ta bort och hantera användarkonton och Ändra medlemskap i en grupp och klickar sedan på Nästa och Slutför.

  6. Högerklicka igen på domänen priv.contoso.local och välj Delegera kontroll.

  7. På fliken Valda användare och grupper klickar du på Lägg till.

  8. I fönstret Välj användare, datorer eller grupper anger du MIMAdmin och klickar på Kontrollera namn. När namnen är understrukna klickar du på OK och sedan på Nästa.

  9. Välj anpassad uppgift, tillämpa på den här mappen med allmänna behörigheter.

  10. I listan med behörigheter väljer du följande behörigheter:

    • Läs
    • Skriva
    • Skapa alla underordnade objekt
    • Ta bort alla underordnade objekt
    • Läs alla egenskaper
    • Skriva alla egenskaper
    • Migrera SID-historik

  11. Klicka på Nästa och sedan på Slutför.

  12. Högerklicka ännu en gång på domänen priv.contoso.local och välj Delegera kontroll.

  13. På fliken Valda användare och grupper klickar du på Lägg till.

  14. I fönstret Välj användare, Datorer eller Grupper anger du MIMAdmin och klickar sedan på Kontrollera namn. När namnen är understrukna klickar du på OK och sedan på Nästa.

  15. Välj anpassad uppgift, tillämpa på den här mappen och klicka sedan bara på Användarobjekt.

  16. I behörighetslistan väljer du Ändra lösenord och Återställ lösenord. Klicka sedan på Nästa och sedan på Slutför.

  17. Stäng Active Directory – användare och datorer.

  18. Öppna kommandotolken.

  19. Granska åtkomstkontrollistan i objektet Admin SD Holder i PRIV-domänerna. Om din domän till exempel var "priv.contoso.local" skriver du kommandot:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"

  20. Uppdatera åtkomstkontrollistan efter behov för att säkerställa att MIM-tjänsten och MIM PAM-komponenttjänsten kan uppdatera medlemskap i grupper som skyddas av den här ACL:en. Skriv kommandot:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"

Konfigurera PAM i Windows Server 2016

Auktorisera sedan MIM-administratörerna och MIM-tjänstkontot för att skapa och uppdatera skuggobjekt.

  1. Aktivera funktionerna för privilegierad åtkomsthantering i Windows Server 2016 Active Directory finns och aktiveras i PRIV-skogen. Starta ett PowerShell-fönster som administratör och skriv följande kommandon.

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"

  2. Starta ett PowerShell-fönster och skriv ADSIEdit.

  3. Öppna menyn Åtgärder och klicka på Anslut till. I inställningen Anslutningspunkt ändrar du namngivningskontexten från "Standardnamnkontext" till "Konfiguration" och klickar på OK.

  4. När du har anslutit expanderar du konfigurationsnoden till vänster i fönstret nedanför "ADSI Edit" för att se "CN=Configuration,DC=priv,....". Expandera CN=Configuration och expandera sedan CN=Services.

  5. Högerklicka på "CN=Shadow Principal Configuration" och klicka på Egenskaper. När dialogrutan Egenskaper visas ändrar du till fliken Säkerhet.

  6. Klicka på Lägg till. Ange kontona "MIMService" samt andra MIM-administratörer som senare ska utföra New-PAMGroup för att skapa ytterligare PAM-grupper. För varje användare lägger du till "Skriv", "Skapa alla underordnade objekt" och "Ta bort alla underordnade objekt" i listan över tillåtna behörigheter. Lägg till behörigheterna.

  7. Ändra till Avancerade säkerhetsinställningar. På raden som tillåter MIMService-åtkomst klickar du på Redigera. Ändra inställningen "Gäller för" till "för det här objektet och alla underordnade objekt". Uppdatera den här behörighetsinställningen och stäng dialogrutan säkerhet.

  8. Stäng ADSI-redigering.

  9. Ge sedan MIM-administratörerna behörighet att skapa och uppdatera autentiseringsprincipen. Starta en upphöjd kommandotolk och skriv följande kommandon och ersätt namnet på MIM-administratörskontot med "mimadmin" på var och en av de fyra raderna:

    dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s

dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo

  10. Starta om PRIVDC-servern så att ändringarna börjar gälla.

Förbereda en PRIV-arbetsstation

Följ de här anvisningarna för att förbereda en arbetsstation. Den här arbetsstationen ansluts till PRIV-domänen för underhåll av PRIV-resurser (till exempel MIM).

Installera Windows 10 Enterprise

På en annan ny virtuell dator utan installerad programvara installerar du Windows 10 Enterprise för att göra en dator till "PRIVWKSTN".

  1. Använd Express-inställningar under installationen.

  2. Observera att installationen kanske inte kan ansluta till Internet. Klicka för att skapa ett lokalt konto. Ange ett annat användarnamn. använd inte "Administratör" eller "Jen".

  3. Med hjälp av Kontrollpanelen ger du den här datorn en statisk IP-adress i det virtuella nätverket och ställer in gränssnittets önskade DNS-server som PRIVDC-serverns.

  4. Med hjälp av Kontrollpanelen ansluter domänen PRIVWKSTN-datorn till domänen priv.contoso.local. Det här steget kräver att du anger autentiseringsuppgifterna för PRIV-domänadministratören. När detta är klart startar du om datorn PRIVWKSTN.

  5. Installera Visual C++ 2013 Redistributable Packages för 64-bitars Windows.

Om du vill ha mer information kan du läsa skydda arbetsstationer med privilegierad åtkomst.

I nästa steg förbereder du en PAM-server.

« Steg 1Steg 3 »