若要檢視英文版的文章,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

步驟 6 – 將群組轉換到權限存取管理

 


要在 PRIV 樹系中建立權限帳戶,必須使用數個新 PowerShell Cmdlet。這些 Cmdlet 會執行下列功能:

  • PRIV 樹系中建立新群組,其 SID (安全性識別碼) 與 CORP 樹系中群組的 SID,和 PRIV 樹系中群組所對應的 MIM 服務資料庫中物件的 SID 相同。

  • 對於每個使用者帳戶,Cmdlet 會在 MIM 服務資料庫中建立兩個物件,對應至 CORP 樹系中的使用者,和 PRIV 樹系中新的使用者帳戶。

  • 在 MIM 服務資料庫中建立 PAM 角色物件。

    在這個發行前版本預覽中,需要為每個群組執行一次 Cmdlet,並為群組中每個成員執行一次。(請注意,移轉 Cmdlet 不會變更或修改 CORP 樹系中的任何使用者或群組:PAM 系統管理員需要以手動方式循序完成此動作。)

    1. 以網域系統管理員身分登入 PAMSRV 並確認服務正在執行。

      1. 請確定您已經以 PRIV\Administrator 的身分登入 PAMSRV

      2. 開啟 [服務]。

      3. 確認 Forefront Identity Manager 服務正在執行。如果服務不在執行中,以滑鼠右鍵按一下服務,然後選取 [開始] 來啟動服務。

    2. 執行 MIM PAM 群組和使用者管理 Cmdlet,將 CorpAdmins 群組及其成員 Jen 從 CONTOSO 複製到 PRIV 網域。

      1. 啟動 PowerShell 並執行下列命令,在系統提示時指定 CORP 網域系統管理員 (CONTOSO\Administrator) 密碼:

        Import-Module MIMPAM
        Import-Module ActiveDirectory
        $ca = get-credential –UserName CONTOSO\Administrator –Message "CORP forest domain admin credentials"
        $pg = New-PAMGroup –SourceGroupName "CorpAdmins" –SourceDomain CONTOSO.local                 –SourceDC CORPDC.contoso.local –Credentials $ca 
        $sj = New-PAMUser –SourceDomain CONTOSO.local –SourceAccountName Jen 
        $jp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
        Set-ADAccountPassword –identity priv.Jen –NewPassword $jp
        Set-ADUser –identity priv.Jen –Enabled 1 
        Add-ADGroupMember "Protected Users" priv.Jen
        $pr = New-PAMRole –DisplayName "CorpAdmins" –Privileges $pg –Candidates $sj
        
        

        供您參考,New-PAMGroup 命令會使用下列參數:

        • NetBIOS 表單中的 CORP 樹系網域名稱

        • 要從該網域複製的群組名稱

        • CORP 樹系的網域控制站 NetBIOS 名稱

        • CORP 樹系中網域系統管理員使用者的認證

      接下來,您會轉換目前為群組成員的使用者以提高 JIT 權限,然後確認跨樹系存取權有效,或是使用者的系統管理員帳戶。

    3. CORPDC 上,從 CONTOSO CorpAdmins 群組移除 Jen 的帳戶 (如果仍存在)。

      1. 登入 CORPDC 做為 CONTOSO\Administrator

      2. 啟動 PowerShell,執行下列命令並確認變更。

        Remove-ADGroupMember -identity "CorpAdmins" -Members "Jen" 
        
顯示: