Dela via

Steg 7 – Utöka en användares behörighet

  • Artikel

« Steg 6

I det här steget kontrollerar du att en användare kan begära åtkomst till en roll via MIM.

Kontrollera att åtkomsten till resursen är begränsad

Utan utökade privilegier kommer Jens konto inte att kunna komma åt den privilegierade resursen i CORP-skogen.

  1. Låt Jen logga ut från alla datorer för att ta bort cachelagrade öppna anslutningar.
  2. Logga in på PRIVWKSTN.
  3. Öppna en DOS-kommandotolk.
  4. Skriv det kommando som kräver att användaren har ett medlemskap i säkerhetsgruppen. Om säkerhetsgruppen till exempel skyddar möjligheten att använda en filresurs corpfsCORPDC-datorn skriver du dir \\corpdc\corpfs. Felmeddelandet Åtkomst nekas bör visas.
  5. Lämna kommandotolken öppen.

Begära privilegierad åtkomst från MIM

Anteckning

Vi rekommenderar att arbetsstationen är en privilegierad arbetsstation (PAW). Mer information finns i vägledningen för att skydda enheter .

  1. På PRIVWKSTN loggar du in som PRIV\priv.jen.

  2. Starta PowerShell.

  3. Ange följande kommando.

    runas /user:Priv.Jen@priv.contoso.local powershell

  4. När du uppmanas till det skriver du lösenordet för PRIV.Jen kontot. Ett nytt kommandotolksfönster visas.

  5. Skriv följande kommandon när PowerShell-fönstret visas.

    Anteckning

    Alla steg som följer efter att du har kört kommandona måste utföras inom en viss tid.

    Import-module MIMPAM
$r = Get-PAMRoleForRequest | ? { $_.DisplayName –eq "CorpAdmins" }
New-PAMRequest –role $r
klist purge

  6. När det är klart stänger du PowerShell-fönstret.

  7. I kommandofönstret skriver du följande kommando:

    runas /user:Priv.Jen@priv.contoso.local powershell

  8. Ange lösenordet för PRIV.Jen kontot. Ett nytt kommandotolksfönster visas.

  9. Verifiera att den förhöjda åtkomsten i det nyligen öppnade fönstret har gett användaren nya gruppmedlemskap. skriv följande kommando.

    whoami /groups

  10. Skriv sedan kommandot som tidigare i steget visade sig ha blockerats på grund av bristande åtkomst. Om resursen till exempel var en filresurs corpfsskriver du följande kommando.

    dir \\corpdc\corpfs

    Om dir-kommandot misslyckas med felmeddelandet Åtkomst nekas kan du kontrollera förtroenderelationen igen.

Sammanfattning

Nu när du har slutfört den här genomgången har du demonstrerat ett scenario för Privileged Access Management. I det här scenariot utökades användarprivilegier under en begränsad tid, vilket ger användaren åtkomst till skyddade resurser med ett separat privilegierat konto. När den utökade sessionen upphör kommer det privilegierade kontot inte längre åt den skyddade resursen. När du sedan migrerar åtkomsträttigheter till Privileged Access Management-systemet är åtkomst som var permanent tillgänglig för det ursprungliga användarkontot endast möjlig för särskilda konton på begäran. Därför är gruppmedlemskap för högprivilegierade grupper endast tillgängliga under begränsade tidsperioder.

« Steg 6