步骤 1 - 准备主机和 CORP 域
在此步骤中,你将准备托管将由 PAM 管理的环境。 如有必要,还可以在 CORP 林) (新域和林中创建域控制器和成员工作站。 访问该林将来自由堡垒环境管理的标识,并在下一步中创建 PRIV 林。 此 CORP 林将模拟具有要管理的资源的现有林。 本文档包含要保护的示例资源:一个文件共享。
如果已有一个现有的 Active Directory (AD) 域,并且域控制器运行Windows Server 2012 R2 或更高版本,则可以改为使用该域,并跳到本文中的“创建组”部分。
准备 CORP 域控制器
本节介绍如何设置 CORP 域的域控制器。 在 CORP 域中,管理用户由堡垒环境管理。 本示例中使用的 CORP 域的域名系统 (DNS) 名称为 contoso.local。
安装 Windows Server
在虚拟机上安装 Windows Server 2016 或更高版本,以创建名为 CORPDC 的计算机。
选择“Windows Server 2016 (具有桌面体验的服务器”) 。
查看并接受许可条款。
因为磁盘将为空,所以请选择“自定义: 仅安装 Windows”并使用未初始化的磁盘空间。
以其管理员身份登录到此新计算机。 导航到“控制面板”。 将计算机名称设为“CORPDC”,并在虚拟网络上为其提供一个静态 IP 地址。 重新启动服务器。
在服务器重启后,以管理员身份登录。 导航到“控制面板”。 配置计算机以检查更新,并安装所需的任何更新。 重新启动服务器。
添加角色以建立域控制器
在本部分中,你将将新的 Windows Server 设置为域控制器。 你将Active Directory 域服务 (AD DS) 、DNS 服务器和文件服务器 (文件和存储服务部分) 角色,并将此服务器提升为新林 contoso.local 的域控制器。
注意
如果已有一个域用作 CORP 域,并且该域使用 Windows Server 2012 R2 或更高版本作为其域功能级别,则可以跳到创建其他用户和组以进行演示。
以管理员身份登录,并启动 PowerShell。
键入下列命令。
import-module ServerManager Add-WindowsFeature AD-Domain-Services,DNS,FS-FileServer –restart –IncludeAllSubFeature -IncludeManagementTools Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName contoso.local –DomainNetbiosName contoso –Force -NoDnsOnNetwork这将提示使用安全模式管理员密码。 请注意,将出现 DNS 委派和加密设置的警告消息。 这些都是正常的。
林创建完成后,注销。服务器将自动重启。
在服务器重启后,以该域的管理员身份登录到 CORPDC。 这通常是用户 CONTOSO\Administrator,该用户具有在 CORPDC 上安装 Windows 时创建的密码。
仅) (Windows Server 2012 R2 安装更新
- 如果选择使用 Windows Server 2012 R2 作为 CORPDC 的操作系统,则必须在 CORPDC 上安装修补程序 2919442、2919355和更新 3155495。
创建组
使用 Active Directory 创建用于审核的组,如果该组不存在。 组的名称必须是后跟三个美元符号的 NetBIOS 域名,例如“CONTOSO$$$”。
对于每个域,以域管理员的身份登录到域控制器,并执行以下步骤:
启动 PowerShell。
键入以下命令,但是将“CONTOSO”替换为 NetBIOS 域名。
import-module activedirectory New-ADGroup –name 'CONTOSO$$$' –GroupCategory Security –GroupScope DomainLocal –SamAccountName 'CONTOSO$$$'
在某些情况下该组可能已经存在 - 如果 AD 迁移场景中也使用该域,则这是正常情况。
创建用于演示的其他用户和组
如果创建了新的 CORP 域,那么应创建用于演示 PAM 场景的其他用户和组。 用于演示的用户和组不应为域管理员或由 AD 中的 adminSDHolder 设置控制。
注意
如果已有一个将用作 CORP 域的域,并且该域具有可用于演示目的的用户和组,则可以跳到 配置审核部分。
我们将创建一个名为“CorpAdmins”的安全组和一个名为“Jen”的用户。 如果你想要,可以使用不同的名称。 如果已有用户(例如使用智能卡),则无需创建新用户。
启动 PowerShell。
键入下列命令。 将密码“Pass@word1”替换为不同的密码字符串。
import-module activedirectory New-ADGroup –name CorpAdmins –GroupCategory Security –GroupScope Global –SamAccountName CorpAdmins New-ADUser –SamAccountName Jen –name Jen Add-ADGroupMember –identity CorpAdmins –Members Jen $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force Set-ADAccountPassword –identity Jen –NewPassword $jp Set-ADUser –identity Jen –Enabled 1 -DisplayName "Jen"
配置审核
你需要在现有林中启用审核,才能在这些林中建立 PAM 配置。
对于每个域,以域管理员的身份登录到域控制器,并执行以下步骤:
转到“启动>Windows 管理工具”,然后启动组策略管理。
导航到此域的域控制器策略。 如果为 contoso.local 创建了新域,请导航到林 :contoso.local>域>contoso.local>域控制器>默认域控制器策略。 将显示一条信息性消息。
右键单击“默认域控制器策略”,然后选择“编辑”。 此时将显示新窗口。
在“组策略管理编辑器”窗口的“默认域控制器策略”树下,导航到“计算机配置>策略>”“Windows 设置”“>安全设置”“>本地策略>”“审核策略”。
在详细信息窗格中,右键单击“审核帐户管理”,然后选择“属性”。 选择“定义这些策略设置”,在“成功”和“失败”上分别放置一个复选框,然后依次单击“应用”和“确定”。
在详细信息窗格中右键单击“审核目录服务访问”,然后选择“属性”。 选择“定义这些策略设置”,在“成功”和“失败”上分别放置一个复选框,然后依次单击“应用”和“确定”。
关闭“组策略管理编辑器”窗口和“组策略管理”窗口。
通过启动 PowerShell 窗口并键入以下内容应用审核设置:
gpupdate /force /target:computer
几分钟后将显示消息“计算机策略更新已成功完成”。
配置注册表设置
在本部分中,你将配置 sID 历史记录迁移所需的注册表设置,这些设置将用于创建特权访问管理组。
启动 PowerShell。
键入以下命令,这些命令将源域配置为允许远程过程调用 (RPC) 访问安全帐户管理器 (SAM) 数据库。
New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 Restart-Computer
这将重启域控制器,CORPDC。 有关此注册表设置的详细信息,请参阅《如何解决在使用 ADMTv2 进行林间 SIDHistory 迁移时出现的问题》。
准备用于演示的 CORP 资源
需要域中至少一个资源来演示 PAM 基于安全组的访问控制。 如果还没有资源,可以使用加入 到 CORP 域的服务器上的文件夹进行演示。 这将使用在 contoso.local 域中创建的“Jen”和“CorpAdmins”AD 对象。
以管理员身份连接到服务器。
创建名为“CorpFS”的新文件夹,并将其与“CorpAdmins”组共享。 以管理员身份打开 PowerShell,并键入以下命令。
mkdir c:\corpfs New-SMBShare –Name corpfs –Path c:\corpfs –ChangeAccess CorpAdmins $acl = Get-Acl c:\corpfs $car = New-Object System.Security.AccessControl.FileSystemAccessRule( "CONTOSO\CorpAdmins", "FullControl", "Allow") $acl.SetAccessRule($car) Set-Acl c:\corpfs $acl由于 PRIV 用户将从另一个林连接到此服务器,因此可能需要更改此服务器上的防火墙配置,以允许用户的计算机能够连接到此服务器。
在下一步中,你将准备 PRIV 域控制器。