Temporary group membership - временное членство в группах безопасности AD DS.

Что такое “Temporary group membership” или по-русски временное членство в группах AD DS? Наверное вы заметили что ответ кроется в самом вопросе. Это функционал, который является частью технологии PAM (Privileged Access Management), которая является экземпляром PIM (Privileged Identity Management), реализуемая с помощью диспетчера удостоверений Microsoft (MIM). Сложновато? На самом деле все просто:

PAM – Управление привилегированным доступом. Фича, которая появилась в Windows Server 2016 и преследует две цели:

1.     Восстановить контроль над скомпрометированной средой Active Directory за счет леса-бастиона непострадавшего от вредоносных атак.

2.     Изолирование привилегированных учетных записей, для уменьшения риска кражи учетных данных.

И основой всего этого является предоставление временного членства в группах безопасности для административных задач пользователям (временным администраторам служб).

Пререквизиты:

Уровень леса обязательно Windows Server 2016.

Открываем PowerShell и выполняем команду:

(Get-ADForest).ForestMode

Если в выводе наблюдаем Windows2016Forest, поздравляю вы в игре :)

Далее нам необходимо включить данный функционал в Active Directory:

Enable-ADOptionalFeature -Identity ″Privileged Access Management Feature″ -Scope ForestOrConfigurationSet -Target ″Home.loc″

P.S. После выполнения команды, откатиться уже будет невозможно, о чем нам любезно сообщит недвусмысленным предупреждением, командлет, во время выполнения.

Проверяем что все прошло успешно:

Get-ADOptionalFeature -filter {name -like "Privileged*"}

Теперь протестируем новые возможности который нам дает этот функционал. Так как GUI для управления данной фичей не предусмотрено, все действия будем выполнять из под оболочки poweshell.exe.

Исходные данные:

Группа – AdminServers

TTL – 10 минут

1.     Создаем объект класса System.TimeSpan, это будет наш TTL период членства в группе безопасности.

$ts = New-TimeSpan –minutes 10

2.     Далее добавим в нашу группу пользователей домена и установим им ограничение по времени равное $ts.

Add-ADGroupMember -Identity “AdminServers” –Members a_fomin, v_bokov, admin2 -MemberTimeToLive $ts

3.     Посмотрим текущие настройки группы после выполнения предыдущего командлета.

Get-ADGroup “AdminServers” -Property Member –ShowMemberTimeToLive

4.     Посмотрим эти же настройки спустя некоторое время

Get-ADGroup “AdminServers” -Property Member –ShowMemberTimeToLive

5. Посмотрим что нам выведет команда klist на клиентской машине.

Время на часах после применения командлета 17:41.

Время окончания жизни билета 17:51. То есть процесс инициализации запроса на получения нового билета будет запущен по окончании этого времени .

P.S. Не сложно догадаться что после истечения TTL группа (AdminServers) будет очищена от УЗ.

До новых встреч.