通过

步骤 2 - 准备第一个 PRIV 域控制器

  • 项目

« 第 1 步第 3 步 »

在此步骤中,你将创建一个新域,该域将为管理员身份验证提供堡垒环境。 此林至少需要一个域控制器、一个成员工作站和至少一个成员服务器。 将在下一步中配置成员服务器。

创建新的 Privileged Access Management 域控制器

在本部分中,你将设置虚拟机以充当新林的域控制器。

安装 Windows Server 2016 或更高版本

在另一台未安装软件的新虚拟机上,安装 Windows Server 2016 或更高版本,使计算机成为“PRIVDC”。

  1. 选择执行 Windows Server 的自定义(非升级)安装。 安装时,指定 Windows Server 2016(具有桌面体验的服务器)请勿选择数据中心或服务器核心

  2. 阅读并接受许可条款。

  3. 由于磁盘将为空,请选择“ 自定义:仅 安装 Windows”并使用未初始化的磁盘空间。

  4. 安装操作系统版本后,以新管理员身份登录到此新计算机。 使用控制面板将计算机名称设置为 PRIVDC。 在网络设置中,在虚拟网络上为其指定静态 IP 地址,并将 DNS 服务器配置为在上一步中安装的域控制器。 需要重启服务器。

  5. 服务器重启后,以管理员身份登录。 使用“控制面板”,配置计算机以检查更新,并安装所需的任何更新。 安装更新可能需要重启服务器。

添加角色

添加Active Directory 域服务(AD DS)和 DNS 服务器角色。

  1. 以管理员身份启动 PowerShell。

  2. 键入以下命令以准备 Windows Server Active Directory 安装。

    import-module ServerManager

Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools

为 SID 历史记录迁移配置注册表设置

启动 PowerShell 并键入以下命令,将源域配置为允许远程过程调用 (RPC) 访问安全帐户管理器 (SAM) 数据库。

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

创建新的 Privileged Access Management 林

接下来,将服务器提升到新林的域控制器。

在本指南中,名称 priv.contoso.local 用作新林的域名。 林的名称并不重要,它不需要从属于组织中的现有林名称。 但是,新林的域名和 NetBIOS 名称必须具有唯一性且不同于组织中任何其他域的名称。

创建域和林

  1. 在 PowerShell 窗口中,键入以下命令以创建新域。 这些命令还将在上一步骤中创建的上级域(contoso.local)中的 DNS 委派。 如果稍后要配置 DNS,则省略 CreateDNSDelegation -DNSDelegationCredential $ca 参数。

    $ca= get-credential
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca

  2. 当弹出窗口显示为配置 DNS 委派时,请为 CORP 林管理员提供凭据,本指南中的凭据是用户名 CONTOSO\Administrator,以及步骤 1 中的相应密码。

  3. PowerShell 窗口将提示你输入安全模式管理员密码以供使用。 输入新密码两次。 将显示 DNS 委派和加密设置的警告消息;这些是正常的。

完成林创建后,服务器将自动重新启动。

创建用户和服务帐户

为 MIM 服务和门户设置创建用户和服务帐户。 这些帐户将位于 priv.contoso.local 域的用户容器中。

  1. 服务器重启后,以域管理员身份登录到 PRIVDC(PRIV\Administrator)。

  2. 启动 PowerShell 并键入以下命令。 密码“Pass@word1”只是一个示例,应该为帐户使用不同的密码。

    import-module activedirectory

$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMMA –name MIMMA

Set-ADAccountPassword –identity MIMMA –NewPassword $sp

Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor

Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp

Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent

Set-ADAccountPassword –identity MIMComponent –NewPassword $sp

Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMSync –name MIMSync

Set-ADAccountPassword –identity MIMSync –NewPassword $sp

Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMService –name MIMService

Set-ADAccountPassword –identity MIMService –NewPassword $sp

Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SharePoint –name SharePoint

Set-ADAccountPassword –identity SharePoint –NewPassword $sp

Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SqlServer –name SqlServer

Set-ADAccountPassword –identity SqlServer –NewPassword $sp

Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName BackupAdmin –name BackupAdmin

Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp

Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1

New-ADUser -SamAccountName MIMAdmin -name MIMAdmin

Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp

Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1

Add-ADGroupMember "Domain Admins" SharePoint

Add-ADGroupMember "Domain Admins" MIMService

配置审核和登录权限

需要设置审核,以便跨林建立 PAM 配置。

  1. 请确保以域管理员身份登录(PRIV\Administrator)。

  2. 转到“启动>Windows 管理工具组策略>管理”。

  3. 导航到林:priv.contoso.local>Domains>priv.contoso.local>域控制器>默认域控制器策略。 将显示一条警告消息。

  4. 右键单击 “默认域控制器策略 ”,然后选择“ 编辑”。

  5. 在组策略管理编辑器控制台树中,导航到计算机配置>策略>Windows 设置>安全设置>本地策略>审核策略。

  6. 在“详细信息”窗格中,右键单击“ 审核帐户管理 ”,然后选择“ 属性”。 单击“定义这些策略设置”,选中“成功”复选框,选中“失败”复选框,单击“应用”,然后单击确定”。

  7. 在“详细信息”窗格中,右键单击“ 审核目录服务访问 ”并选择“ 属性”。 单击“定义这些策略设置”,选中“成功”复选框,选中“失败”复选框,单击“应用”,然后单击确定”。

  8. 导航到计算机配置>策略>Windows 设置>安全设置>帐户策略>Kerberos 策略。

  9. 在“详细信息”窗格中,右键单击 用户票证 的最大生存期,然后选择“ 属性”。 单击“定义这些策略设置”,将小时数设置为 1,单击“应用”,然后单击确定”。 请注意,窗口中的其他设置也会更改。

  10. 在“组策略管理”窗口中,选择“ 默认域策略”,右键单击并选择“ 编辑”。

  11. 展开计算机配置>策略>Windows 设置>安全设置>本地策略并选择“用户权限分配”。

  12. 在“详细信息”窗格中,右键单击“ 拒绝登录”作为批处理作业 ,然后选择“ 属性”。

  13. 选中“定义这些策略设置”复选框,单击“添加用户或组,然后在“用户和组名称”字段中键入 priv\mimmonitor;priv\MIMService;priv\mimcomponent,然后单击“确定”。

  14. 单击“确定” 以关闭该窗口。

  15. 在“详细信息”窗格中,右键单击“ 拒绝通过远程桌面服务 登录”并选择“ 属性”。

  16. 单击“定义这些策略设置”复选框,单击“添加用户或组”,然后在“用户和组名称”字段中键入 priv\mimmonitor;priv\MIMService;priv\mimcomponent,然后单击“确定”。

  17. 单击“确定” 以关闭该窗口。

  18. 关闭“组策略管理编辑器”窗口和“组策略管理”窗口。

  19. 以管理员身份启动 PowerShell 窗口,并键入以下命令以从组策略设置中更新 DC。

    gpupdate /force /target:computer

    一分钟后,它将完成消息“计算机策略更新已成功完成”。

在 PRIVDC 上配置 DNS 名称转发

在 PRIVDC 上使用 PowerShell,配置 DNS 名称转发,以便 PRIV 域识别其他现有林。

  1. 启动 PowerShell。

  2. 对于每个现有林顶部的每个域,键入以下命令。 在该命令中,指定现有 DNS 域(如 contoso.local),以及该域的主 DNS 服务器的 IP 地址。

    如果在上一步骤中创建了一个域 contoso.local,其中 10.1.1.31 作为其 IP 地址,则为 CORPDC 计算机的虚拟网络 IP 地址指定 10.1.1.31

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31

注意

其他林还必须能够将 PRIV 林的 DNS 查询路由到此域控制器。 如果有多个现有的 Active Directory 林,则还必须向其中每个林添加 DNS 条件转发器。

配置 Kerberos

  1. 使用 PowerShell 添加 SPN,以便 SharePoint、PAM REST API 和 MIM 服务可以使用 Kerberos 身份验证。

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
setspn -S http/pamsrv PRIV\SharePoint
setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
setspn -S FIMService/pamsrv PRIV\MIMService

注意

本文档的后续步骤介绍如何在单个计算机上安装 MIM 2016 服务器组件。 如果计划添加另一台服务器以实现高可用性,则需要其他 Kerberos 配置,如 FIM 2010:Kerberos 身份验证设置中所述

配置委派以授予 MIM 服务帐户访问权限

以域管理员身份在 PRIVDC 上执行以下步骤。

  1. 启动Active Directory 用户和计算机

  2. 右键单击域 priv.contoso.local 并选择“ 委托控件”。

  3. 在“所选用户和组”选项卡上,单击“ 添加”。

  4. 在“选择用户、计算机或组”窗口中,键入 mimcomponent; mimmonitor; mimservice 并单击“ 检查名称”。 在名称下划线后,单击“确定”,然后单击下一步”。

  5. 在常见任务列表中,选择“创建、删除和管理用户帐户”并修改组的成员身份,然后单击“下一步”和完成”。

  6. 同样,右键单击域 priv.contoso.local 并选择“ 委托控件”。

  7. 在“所选用户和组”选项卡上,单击“ 添加”。

  8. 在“选择用户、计算机或组”窗口中,输入 MIMAdmin ,然后单击“ 检查名称”。 在名称下划线后,单击“确定”,然后单击下一步”。

  9. 选择自定义任务,应用于具有“常规”权限“此文件夹”。

  10. 在权限列表中,选择以下权限:

    • 读取
    • 写入
    • 创建所有子对象
    • 删除所有子对象
    • 读取所有属性
    • 写入所有属性
    • 迁移 SID 历史记录

  11. 单击“下一步”,然后单击“完成”。

  12. 再次右键单击域 priv.contoso.local 并选择“ 委托控件”。

  13. 在“所选用户和组”选项卡上,单击“ 添加”。

  14. 在“选择用户、计算机或组”窗口中,输入 MIMAdmin ,然后单击“ 检查名称”。 在名称下划线后,单击“确定”,然后单击“下一步”。

  15. 选择 自定义任务,应用于 “此文件夹,然后单击“用户”对象

  16. 在权限列表中,选择“更改密码”和重置密码”。 然后单击“下一步,然后单击“完成”。

  17. 关闭“Active Directory 用户和计算机”。

  18. 打开命令提示符。

  19. 查看 PRIV 域中管理员 SD Holder 对象的访问控制列表。 例如,如果域为“priv.contoso.local”,请键入以下命令:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"

  20. 根据需要更新访问控制列表,以确保 MIM 服务和 MIM PAM 组件服务可以更新受此 ACL 保护的组的成员身份。 键入命令:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"

在 Windows Server 2016 中配置 PAM

接下来,授权 MIM 管理员和 MIM 服务帐户创建和更新影子主体。

  1. 在 Windows Server 2016 Active Directory 中启用特权访问管理功能在 PRIV 林中存在并启用。 以管理员身份启动 PowerShell 窗口并键入以下命令。

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"

  2. 启动 PowerShell 窗口并键入 ADSIEdit。

  3. 打开“操作”菜单,单击“连接到”。 在“连接点”设置上,将命名上下文从“默认命名上下文”更改为“配置”,然后单击“确定”。

  4. 连接后,在窗口左侧的“ADSI 编辑”上,展开“配置”节点以查看“CN=Configuration,DC=priv,....”。 展开 CN=配置,然后展开 CN=Services。

  5. 右键单击“CN=Shadow Principal Configuration”,然后单击“属性”。 出现“属性”对话框时,请更改为“安全”选项卡。

  6. 单击“添加” 。 指定帐户“MIMService”以及任何其他 MIM 管理员,这些管理员稍后将执行 New-PAMGroup 以创建其他 PAM 组。 对于每个用户,在允许的权限列表中,添加“写入”、“创建所有子对象”和“删除所有子对象”。 添加权限。

  7. 更改为高级安全设置。 在允许 MIMService 访问的行上,单击“编辑”。 将“应用于”设置更改为“对此对象和所有后代对象”。 更新此权限设置并关闭安全对话框。

  8. 关闭“ADSI Edit”。

  9. 接下来,授权 MIM 管理员创建和更新身份验证策略。 启动提升的 命令提示符 并键入以下命令,将 MIM 管理员帐户的名称替换为四行中的“mimadmin”:

    dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s

dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo

  10. 重新启动 PRIVDC 服务器以使这些更改起效。

准备 PRIV 工作站

按照以下说明准备工作站。 此工作站将加入 PRIV 域,以执行 PRIV 资源(如 MIM)的维护。

安装Windows 10 企业版

在另一台未安装软件的新虚拟机上,安装Windows 10 企业版以使计算机成为“PRIVWKSTN”。

  1. 在安装过程中使用快速设置。

  2. 请注意,安装可能无法连接到 Internet。 单击以 创建本地帐户。 指定不同的用户名;不要使用“Administrator”或“Jen”。

  3. 使用 控制面板,为此计算机提供虚拟网络上的静态 IP 地址,并将接口的首选 DNS 服务器设置为 PRIVDC 服务器。

  4. 使用 控制面板,域将 PRIVWKSTN 计算机加入 priv.contoso.local 域。 此步骤需要提供 PRIV 域管理员凭据。 完成后,重启计算机 PRIVWKSTN。

  5. 为 64 位 Windows 安装 Visual C++ 2013 可再发行组件包

如果需要更多详细信息,请参阅 保护特权访问工作站

在下一步中,你将准备 PAM 服务器。

« 第 1 步第 3 步 »