共用方式為

步驟 2 - 準備第一個 PRIV 域控制器

  • 發行項

« 步驟 1步驟 3 »

在此步驟中,您將建立新的網域,以提供系統管理員驗證的防禦環境。 此樹系至少需要一個域控制器、一個成員工作站,以及至少一個成員伺服器。 成員伺服器將會在下一個步驟中設定。

建立新的特殊許可權存取管理域控制器

在本節中,您將設定虛擬機作為新樹系的域控制器。

安裝 Windows Server 2016 或更新版本

在另一部未安裝軟體的新虛擬機上,安裝 Windows Server 2016 或更新版本,讓計算機成為“PRIVDC”。

  1. 選擇執行 Windows Server 自訂安裝 (不升級)。 安裝時,請指定 Windows Server 2016(具有桌面體驗的伺服器); 請勿選取 [數據中心] 或 [Server Core]。

  2. 檢閱並接受授權條款。

  3. 由於磁碟會是空的,請選取 [自定義:僅 安裝 Windows],並使用未初始化的磁碟空間。

  4. 安裝作業系統版本之後,請以新的系統管理員身分登入這部新計算機。 使用 控制台 將計算機名稱設定為 PRIVDC。 在網路設定中,為它提供虛擬網路上的靜態 IP 位址,並將 DNS 伺服器設定為在上一個步驟中安裝的域控制器。 您必須重新啟動伺服器。

  5. 伺服器重新啟動之後,以系統管理員身分登入。 使用 [控制台] 設定電腦來檢查更新,並安裝所需的任何更新。 安裝更新可能需要重新啟動伺服器。

新增角色

新增 Active Directory 網域服務 (AD DS) 和 DNS 伺服器角色。

  1. 以系統管理員身分啟動PowerShell。

  2. 輸入下列命令以準備 Windows Server Active Directory 安裝。

    import-module ServerManager

Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools

設定 SID 歷程記錄移轉的登錄設定

啟動 PowerShell 並輸入下列命令,以設定來源網域以允許遠端過程調用 (RPC) 存取安全性帳戶管理員 (SAM) 資料庫。

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

建立新的 Privileged Access Management 樹系

接下來,將伺服器升級為新樹系的域控制器。

在本指南中,priv.contoso.local 名稱會當做新樹系的域名使用。 樹系的名稱並不重要,而且不需要隸屬於組織中的現有樹系名稱。 不過,新樹系的網域和 NetBIOS 名稱都必須是唯一的,而且不同於組織中的任何其他網域。

建立網域和樹系

  1. 在 PowerShell 視窗中,輸入下列命令以建立新的網域。 這些命令也會在上一個步驟中建立的上層網域 (contoso.local) 中建立 DNS 委派。 如果您想要稍後設定 DNS,請省略 CreateDNSDelegation -DNSDelegationCredential $ca 參數。

    $ca= get-credential
Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca

  2. 當彈出視窗顯示為設定 DNS 委派時,請提供 CORP 樹系管理員的認證,本指南中是用戶名稱 CONTOSO\Administrator,以及步驟 1 中的對應密碼。

  3. PowerShell 視窗會提示您輸入安全模式系統管理員密碼。 輸入新密碼兩次。 會出現 DNS 委派和密碼編譯設定的警告訊息;這些是正常的。

樹系建立完成之後,將會自動重新啟動伺服器。

建立使用者和服務帳戶

建立 MIM 服務和入口網站設定的用戶和服務帳戶。 這些帳戶會移至 priv.contoso.local 網域的 Users 容器中。

  1. 伺服器重新啟動之後,以網域系統管理員 (PRIV\Administrator) 身分登入 PRIVDC。

  2. 啟動 PowerShell 並輸入下列命令。 密碼 'Pass@word1' 只是一個範例,您應該為帳戶使用不同的密碼。

    import-module activedirectory

$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMMA –name MIMMA

Set-ADAccountPassword –identity MIMMA –NewPassword $sp

Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor

Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp

Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent

Set-ADAccountPassword –identity MIMComponent –NewPassword $sp

Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMSync –name MIMSync

Set-ADAccountPassword –identity MIMSync –NewPassword $sp

Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMService –name MIMService

Set-ADAccountPassword –identity MIMService –NewPassword $sp

Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SharePoint –name SharePoint

Set-ADAccountPassword –identity SharePoint –NewPassword $sp

Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SqlServer –name SqlServer

Set-ADAccountPassword –identity SqlServer –NewPassword $sp

Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName BackupAdmin –name BackupAdmin

Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp

Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1

New-ADUser -SamAccountName MIMAdmin -name MIMAdmin

Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp

Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1

Add-ADGroupMember "Domain Admins" SharePoint

Add-ADGroupMember "Domain Admins" MIMService

設定稽核和登入權限

您必須設定稽核,才能跨樹系建立 PAM 組態。

  1. 請確定您已以網域系統管理員身分登入(PRIV\Administrator)。

  2. 移至啟動>Windows 系統管理工具>組策略管理。

  3. 流覽至樹系:priv.contoso.local>網域>priv.contoso.local>域控制器>預設域控制器原則。 會出現一則警告訊息。

  4. 以滑鼠右鍵按兩下 [預設域控制器原則 ],然後選取 [ 編輯]。

  5. 在 [組策略管理編輯器] 主控台樹中,流覽至 [計算機設定>>原則] [Windows 設定>安全性設定>本機原則>審核策略]。

  6. 在 [詳細數據] 窗格中,以滑鼠右鍵按兩下 [ 稽核帳戶管理 ],然後選取 [ 屬性]。 按兩下 [ 定義這些原則設定]、核取 [ 成功] 複選框、核取 [ 失敗] 複選框、按兩下 [ 套用 ] 和 [ 確定]。

  7. 在 [詳細數據] 窗格中,以滑鼠右鍵按兩下 [ 稽核目錄服務存取 ],然後選取 [ 屬性]。 按兩下 [ 定義這些原則設定]、核取 [ 成功] 複選框、核取 [ 失敗] 複選框、按兩下 [ 套用 ] 和 [ 確定]。

  8. 流覽至 [計算機設定>原則>] [Windows 設定>安全性設定>帳戶>原則] Kerberos 原則。

  9. 在 [詳細數據] 窗格中,以滑鼠右鍵按兩下 [使用者票證 的存留期上限],然後選取 [ 屬性]。 按兩下 [ 定義這些原則設定],將小時數設定為 1,按兩下 [ 套用 ],然後按兩下 [ 確定]。 請注意,視窗中的其他設定也會變更。

  10. 在 [組策略管理] 視窗中,選取 [預設網域原則],以滑鼠右鍵按兩下並選取 [ 編輯]。

  11. 展開 [計算機設定>原則>][Windows 設定>安全性設定>本機原則],然後選取 [用戶權力指派]。

  12. 在 [詳細數據] 窗格中,以滑鼠右鍵按兩下 [ 拒絕以批次作業 登入],然後選取 [ 屬性]。

  13. 核取 [ 定義這些原則設定 ] 複選框,按兩下 [新增使用者或群組],然後在 [使用者和組名] 字段中輸入 priv\mimmonitor;priv\MIMService;priv\mimcomponent ,然後按兩下 [ 確定]。

  14. 按一下 [ 確定 ] 關閉視窗。

  15. 在 [詳細數據] 窗格中,以滑鼠右鍵按兩下 [ 拒絕透過遠端桌面服務 登入],然後選取 [ 屬性]。

  16. 單擊 [ 定義這些原則設定 ] 複選框,按兩下 [新增使用者或群組],然後在 [使用者和組名] 字段中輸入 priv\mimmonitor;priv\MIMService;priv\mimcomponent ,然後按兩下 [ 確定]。

  17. 按一下 [ 確定 ] 關閉視窗。

  18. 關閉 [組策略管理編輯器] 視窗和 [組策略管理] 視窗。

  19. 以系統管理員身分啟動 PowerShell 視窗,輸入下列命令,從群組原則設定來更新 DC。

    gpupdate /force /target:computer

    一分鐘之後,它會完成「計算機原則更新已順利完成」訊息。

在 PRIVDC 上設定 DNS 名稱轉送

在PRIVDC上使用PowerShell,設定 DNS 名稱轉送,讓PRIV網域辨識其他現有的樹系。

  1. 啟動 PowerShell。

  2. 針對每個現有樹系頂端的每個網域,輸入下列命令。 在該命令中,指定現有的 DNS 網域(例如 contoso.local),以及該網域主要 DNS 伺服器的 IP 位址。

    如果您在上一個步驟 中以 10.1.1.31 作為 IP 位址建立一個網域 contoso.local,則請為 CORPDC 計算機的虛擬網路 IP 位址指定 10.1.1.31

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31

注意

其他樹系也必須能夠將PRIV樹系的 DNS 查詢路由傳送至此域控制器。 如果您有多個現有的 Active Directory 樹系,則也必須將 DNS 條件轉寄站新增至每個樹系。

設定 Kerberos

  1. 使用 PowerShell 新增 SPN,讓 SharePoint、PAM REST API 和 MIM 服務可以使用 Kerberos 驗證。

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
setspn -S http/pamsrv PRIV\SharePoint
setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
setspn -S FIMService/pamsrv PRIV\MIMService

注意

本文件的後續步驟說明如何在單一計算機上安裝 MIM 2016 伺服器元件。 如果您打算新增另一部伺服器以提供高可用性,則需要額外的 Kerberos 設定,如 FIM 2010:Kerberos 驗證設定中所述

設定委派以授與 MIM 服務帳戶存取權

以網域系統管理員身分在PRIVDC上執行下列步驟。

  1. 啟動 Active Directory 使用者和電腦

  2. 以滑鼠右鍵按兩下網域 priv.contoso.local,然後選取 [委派控件]。

  3. 在 [選取的使用者和群組] 索引標籤上,按兩下 [ 新增]。

  4. 在 [選取使用者、計算機或群組] 視窗中,輸入 mimcomponent; mimmonitor; mimservice 並按兩下 [ 檢查名稱]。 在名稱加上底線之後,按兩下 [確定],然後按兩下一步。

  5. 在一般工作清單中,選取 [ 建立、刪除及管理用戶帳戶 ] 和 [修改群組的成員資格],然後按 [下一步 ] 和 [完成]。

  6. 同樣地,以滑鼠右鍵按兩下網域 priv.contoso.local ,然後選取 [ 委派控件]。

  7. 在 [選取的使用者和群組] 索引標籤上,按兩下 [ 新增]。

  8. 在 [選取使用者、計算機或群組] 視窗中,輸入 MIMAdmin ,然後按兩下 [ 檢查名稱]。 在名稱加上底線之後,按兩下 [確定],然後按兩下一步。

  9. 選取 自定義工作,並套用至 [此資料夾],並具有 [一般] 許可權

  10. 在權限清單中,選取下列許可權:

    • 讀取
    • 寫入
    • 建立所有子物件
    • 刪除所有子物件
    • 讀取所有屬性
    • 寫入所有屬性
    • 移轉 SID 歷程記錄

  11. [下一步],然後按擊 [ 完成]。

  12. 再次以滑鼠右鍵按兩下網域 priv.contoso.local ,然後選取 [委派控件]。

  13. 在 [選取的使用者和群組] 索引標籤上,按兩下 [ 新增]。

  14. 在 [選取使用者、計算機或群組] 視窗中,輸入 MIMAdmin ,然後按兩下 [ 檢查名稱]。 在名稱加上底線之後,按兩下 [確定],然後按兩下一步。

  15. 選取 自定義工作,套用至 [此資料夾],然後按兩下 [用戶物件]。

  16. 在許可權清單中,選取 [變更密碼] 和 [重設密碼]。 然後按兩下 [下一步],然後按兩下 [完成]。

  17. 關閉 [Active Directory 使用者和電腦]。

  18. 開啟命令提示字元。

  19. 檢閱 PRIV 網域中 Admin SD Holder 物件上的訪問控制清單。 例如,如果您的網域是 「priv.contoso.local」,請輸入命令:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"

  20. 視需要更新訪問控制清單,以確保 MIM 服務和 MIM PAM 元件服務可以更新受此 ACL 保護的群組成員資格。 輸入命令:

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"

在 Windows Server 2016 中設定 PAM

接下來,授權 MIM 系統管理員和 MIM 服務帳戶建立和更新陰影主體。

  1. 在 WINDOWS Server 2016 Active Directory 中啟用特殊許可權存取管理功能,會在 PRIV 樹系中出現並啟用。 以系統管理員身分啟動 PowerShell 視窗,並輸入下列命令。

    $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"

  2. 啟動 PowerShell 視窗並輸入 ADSIEdit。

  3. 開啟 [動作] 功能表,按兩下 [連線到]。 在 [連接點] 設定上,將命名內容從 [預設命名內容] 變更為 [組態],然後按兩下 [確定]。

  4. 連線之後,在 [ADSI 編輯] 下方視窗的左側,展開 [組態] 節點以查看 “CN=Configuration,DC=priv,....”。 展開 CN=組態,然後展開 CN=Services。

  5. 以滑鼠右鍵按兩下 [CN=Shadow Principal 組態],然後按兩下 [屬性]。 當 [屬性] 對話框出現時,請變更為 [安全性] 索引卷標。

  6. 按一下新增。 指定帳戶 「MIMService」,以及稍後將執行 New-PAMGroup 以建立其他 PAM 群組的任何其他 MIM 系統管理員。 針對每個使用者,在允許的許可權清單中,新增 「寫入」、「建立所有子物件」和「刪除所有子物件」。 新增許可權。

  7. 變更為 [進階安全性] 設定。 在允許 MIMService 存取的行上,按兩下 [編輯]。 將 [套用至] 設定變更為 “to this object and all descendant objects”。 更新此許可權設定並關閉安全性對話框。

  8. 關閉 [ADSI 編輯器]。

  9. 接下來,授權 MIM 系統管理員建立和更新驗證原則。 啟動提升許可權的 命令提示字元 ,並輸入下列命令,並在四行中以 「mimadmin」 取代 MIM 系統管理員帳戶的名稱:

    dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s

dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s

dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo

  10. 重新啟動 PRIVDC 伺服器,讓這些變更生效。

準備PRIV工作站

請遵循這些指示來準備工作站。 此工作站將會加入PRIV網域,以執行PRIV資源的維護(例如MIM)。

安裝 Windows 10 企業版

在另一部未安裝軟體的新虛擬機上,安裝 Windows 10 企業版 讓計算機成為 “PRIVWKSTN”。

  1. 在安裝期間使用 Express 設定。

  2. 請注意,安裝可能無法連線到網際網路。 按兩下以 建立本機帳戶。 指定不同的使用者名稱。請勿使用 “Administrator“ 或 “Jen“。

  3. 使用 控制台,為這部計算機提供虛擬網路上的靜態 IP 位址,並將介面的慣用 DNS 伺服器設定為 PRIVDC 伺服器的 IP 位址。

  4. 使用 控制台,網域會將PRIVWKSTN電腦加入priv.contoso.local網域。 此步驟需要提供PRIV網域系統管理員認證。 完成時,請重新啟動電腦 PRIVWKSTN。

  5. 安裝適用於 64 位 Windows 的 Visual C++ 2013 可轉散發套件

如果您想要更多詳細數據,請參閱 保護特殊許可權存取工作站

在下一個步驟中,您將準備 PAM 伺服器。

« 步驟 1步驟 3 »