若要檢視英文版的文章,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

步驟 7 – 提升使用者的存取權

 


此步驟將示範使用者可以要求透過 MIM 來存取角色。

  1. 確認 Jen 無法使用她的帳戶 CONTOSO\Jen 存取 CORP 樹系中需要特殊權限的資源。

    1. CORPWKSTN,登出。(這會移除任何快取的開啟連接)

    2. CONTOSO\Jen 身分登入 CORPWKSTN,並切換至桌面檢視

    3. 開啟 DOS 命令提示字元。

    4. 輸入命令 "dir \\corpwkstn\corpfs",應該會出現「存取被拒錯誤訊息。

    5. 讓命令提示字元視窗保持開啟。

  2. 從 MIM 要求特殊存取權限。

    1. CORPWKSTN,確定您以 CONTOSO\Jen 身分登入且 DOS 命令視窗已開啟。

    2. 輸入下列命令。

      runas /user:Priv.Jen@priv.contoso.local powershell
      
    3. 出現提示時,輸入 PRIV.Jen 帳戶的密碼。將會出現新的命令提示字元視窗。

    4. 當 PowerShell 視窗出現時,切換至該視窗並輸入下列命令 (請注意,所有後續的互動都有時效性)。

      Import-module MIMPAM
      $r = Get-PAMRoleForRequest | ? { $_.DisplayName –eq "CorpAdmins" }
      New-PAMRequest –role $r
      klist purge
      
      
    5. 完成之後,關閉新開啟的 PowerShell 視窗。

    6. 在 DOS 命令視窗中,輸入下列命令

      runas /user:Priv.Jen@priv.contoso.local powershell
      
    7. 輸入 PRIV.Jen 帳戶的密碼。將會出現新的命令提示字元視窗。

  3. 驗證已提高的存取權。

    1. 在新開啟的視窗中,輸入下列命令。

      whoami /groups
      dir \\corpwkstn\corpfs
      
      

      如果 dir 命令失敗而出現「存取被拒」錯誤訊息,請重新檢查信任關係。

  4. (選擇性) 透過 PAM 範例入口網站要求特殊存取權限,以提高權限。

    • CORPWKSTN,確定您以 CORP\Jen 身分登入且 DOS 命令視窗已開啟。

    • 輸入下列命令。

      runas /user:Priv.Jen@priv.contoso.local "c:\program files\Internet Explorer\iexplore.exe"
      
    • 出現提示時,輸入 PRIV.Jen 帳戶的密碼。將會出現新的網頁瀏覽器視窗。

    • 瀏覽至 http://pamsrv.priv.contoso.local:8090,並確認看見範例入口網站的網頁。

    • Internet Explorer 中,選取 [工具]、[網際網路選項],切換至 [安全性] 索引標籤。

    • 依序按一下 [近端內部網路區域]、[網站] 和 [進階],將網站新增至該區域。關閉 [網際網路選項] 對話方塊。

    • 在左側索引標籤上,按一下 [提高權限]。選取 [PAM 角色],按一下 [提高權限]。

      PAM_GS_Roles_for_Elevation

在此環境中,您也可以了解如何開發使用 PAM REST API 來提升高權限的應用程式。

完成本測試實驗室指南中的步驟後,您已示範一個特殊權限存取管理案例,其中在一段有限的時間內提高使用者權限,允許使用者以不同的特殊權限帳戶存取受保護的資源。一旦過了提高權限的那段時間,特殊權限帳戶就立即無法再存取受保護的資源。決定哪些安全性群組代表特殊權限的角色,是由 PAM 管理員協調。一旦存取權移轉至特殊權限存取管理系統,先前由原始使用者帳戶執行的存取動作,現在只能以特殊權限帳戶登入才能執行,而且是依要求而提供。因此,極高權限群組的群組成員資格只在一段有限的時間內有效。

顯示: