若要檢視英文版的文章,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

作業的原則

 


具體化系統管理帳戶的解決方案由平行樹系所組成。在本指南中,有兩個樹系:

  • 「CORP」:一般用途公司樹系包含一個或多個網域。組織可能有多個「CORP」樹系,不過為了簡化這個測試實驗室指南,我們會假設一個含單一網域的樹系。

  • 「PRIV」:權限帳戶管理的專用樹系,特別為此 PAM 案例建立。此樹系包含一個網域。此網域將容納從一或多個 CORP 網域加上陰影的權限群組和帳戶。

「PRIV」樹系的 Active Directory 網域控制站提供權限使用者驗證與授權。此外,MIM 強制透過安全性和外部主體群組中,利用使用者帳戶的成員資格 (有時間限制) 進行存取。請注意,在此測試實驗室指南中參考的 Windows Server 版本中,外部主體群組尚無法使用;這將在 Windows Server 下一個版本的後續更新指南中提供。

Microsoft Identity Manager 將為「及時」提高權限要求加入新的工作流程活動和相關資源,直接與「PRIV」樹系的 Active Directory 網域控制站進行通訊。它也為提高權限要求提供新的 PowerShell Cmdlet。

為 PAM 設定的 MIM 方案包括下列元件:

  • MIM 服務 – 實作商務邏輯以執行身分與存取管理作業,包括權限帳戶管理和提高權限要求處理。

  • MIM 入口網站 – SharePoint 2013 所裝載的 SharePoint 入口網站,提供系統管理員管理和組態 UI。

  • MIM 服務資料庫 – 儲存在 SQL Server 2012 或 2014 中,保留 MIM 服務所需的身分資料和中繼資料。

  • PAM 監視服務和 PAM 元件服務 – 管理權限帳戶的生命週期,以及協助群組成員資格生命週期中 PRIV AD 的兩個服務

  • PowerShell Cmdlet – 適用於填入 MIM 服務和 PRIV AD 使用者和群組 (對應於 PAM 系統管理員中的使用者和群組),以及適用於在系統管理帳戶上要求及時 (JIT) 使用權限的一般使用者

  • PAM REST API 和範例入口網站 – 適用於在 PAM 案例中整合 MIM 與自訂用戶端以提高權限,而不需要使用 PowerShell 或 SOAP 的開發人員。以範例 Web 應用程式示範 REST API 的使用。

安裝和設定後,PRIV 樹系中移轉程序所建立的每個群組都是以陰影 SIDHistory 為基礎的安全性群組 (或後續的 Windows Server vNext 更新,即外部主體群組),其將 SID 鏡像原始 CORP 樹系中的群組。此外,當 MIM 服務將成員加入至 PRIV 樹系中的這些群組時,那些成員資格會有時間限制。

如此一來,當使用者要求使用 PowerShell Cmdlet 提高權限,且其要求獲得核准後,MIM 服務會將其在 PRIV 樹系中的帳戶加入 PRIV 樹系中的群組。當使用者以其權限帳戶登入時,其 Kerberos 權杖會包含安全性識別碼 (SID),其與 CORP 樹系中群組的 SID 相同。由於 CORP 樹系設定為信任 PRIV 樹系,用來存取 CORP 樹系中資源的提高權限帳戶隨即顯示,以檢查 Kerberos 群組成員資格的資源 (為該資源的安全性群組的成員)。這會透過 Kerberos 跨樹系驗證提供。

此外,這些成員資格有時間限制,因此在預先設定的間隔後,使用者的系統管理帳戶將不再屬於 PRIV 樹系中的群組。因此,該帳戶將無法繼續用來存取其他資源。

例如,假設 CORP 樹系 CONTOSO 包含「CONTOSO\Jen」成員的「CONTOSO\CorpAdmins」群組。有敏感性資源 (如檔案共用),其存取控制清單會參考該群組。由於 Jen 是該群組的成員,因此當 Jen 嘗試存取檔案共用時,她會擁有存取權。

安裝並設定 MIM 後,PRIV 樹系中會建立新使用者:PRIV.Jen。根據預設,此使用者帳戶沒有任何權限。此外,PRIV 樹系中會建立新群組:PRIV\CONTOSO.CorpAdmins。根據預設,該群組將沒有任何成員。此外,該群組 PRIV\CONTOSO.CorpAdmins 與 CONTOSO\CorpAdmins 有相同的 SID。

此時可以從 CONTOSO\CorpAdmins 群組 (手動) 移除 CONTOSO\Jen。當 Jen 從 MIM 要求存取權並已獲授權時,MIM 服務會將 PRIV.Jen 新增至 PRIV\CONTOSO.CorpAdmins。之後,Jen 就能使用新 PRIV.Jen 帳戶來存取資源 (如檔案共用)。稍後便會自動終止 PRIV\CONTOSO.CorpAdmins 中該帳戶的成員資格。如果 Jen 仍然需要存取,則必須重新要求提高權限。

顯示: