Temporary group membership - временное членство в группах безопасности AD DS.
@root_itЧто такое “Temporary group membership” или по-русски временное членство в группах AD DS? Наверное вы заметили что ответ кроется в самом вопросе. Это функционал, который является частью технологии PAM (Privileged Access Management), которая является экземпляром PIM (Privileged Identity Management), реализуемая с помощью диспетчера удостоверений Microsoft (MIM). Сложновато? На самом деле все просто:
PAM – Управление привилегированным доступом. Фича, которая появилась в Windows Server 2016 и преследует две цели:
1. Восстановить контроль над скомпрометированной средой Active Directory за счет леса-бастиона непострадавшего от вредоносных атак.
2. Изолирование привилегированных учетных записей, для уменьшения риска кражи учетных данных.
И основой всего этого является предоставление временного членства в группах безопасности для административных задач пользователям (временным администраторам служб).
Пререквизиты:
Уровень леса обязательно Windows Server 2016.
Открываем PowerShell и выполняем команду:
(Get-ADForest).ForestMode
Если в выводе наблюдаем Windows2016Forest, поздравляю вы в игре :)
Далее нам необходимо включить данный функционал в Active Directory:
Enable-ADOptionalFeature -Identity ″Privileged Access Management Feature″ -Scope ForestOrConfigurationSet -Target ″Home.loc″
P.S. После выполнения команды, откатиться уже будет невозможно, о чем нам любезно сообщит недвусмысленным предупреждением, командлет, во время выполнения.
Проверяем что все прошло успешно:
Get-ADOptionalFeature -filter {name -like "Privileged*"}
Теперь протестируем новые возможности который нам дает этот функционал. Так как GUI для управления данной фичей не предусмотрено, все действия будем выполнять из под оболочки poweshell.exe.
Исходные данные:
Группа – AdminServers
TTL – 10 минут
1. Создаем объект класса System.TimeSpan, это будет наш TTL период членства в группе безопасности.
$ts = New-TimeSpan –minutes 10
2. Далее добавим в нашу группу пользователей домена и установим им ограничение по времени равное $ts.
Add-ADGroupMember -Identity “AdminServers” –Members a_fomin, v_bokov, admin2 -MemberTimeToLive $ts
3. Посмотрим текущие настройки группы после выполнения предыдущего командлета.
Get-ADGroup “AdminServers” -Property Member –ShowMemberTimeToLive
4. Посмотрим эти же настройки спустя некоторое время
Get-ADGroup “AdminServers” -Property Member –ShowMemberTimeToLive
5. Посмотрим что нам выведет команда klist на клиентской машине.
Время на часах после применения командлета 17:41.
Время окончания жизни билета 17:51. То есть процесс инициализации запроса на получения нового билета будет запущен по окончании этого времени .
P.S. Не сложно догадаться что после истечения TTL группа (AdminServers) будет очищена от УЗ.
До новых встреч.