若要檢視英文版的文章,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

步驟 2 – 準備 PRIV 網域控制站

 


在此步驟中,您將為新的特殊權限存取管理樹系建立新的網域。

  1. 在另一個未安裝任何軟體的新虛擬機器上,安裝 Windows Server 2012 R2,讓電腦成為 "PRIVDC"。

    1. 選擇執行 Windows Server 自訂安裝 (不升級)。

    2. 在安裝時,指定 Windows Server 2012 R2 Standard (Server 含 GUI) x64,不要選取 Data Center 或 Server Core。

      PAM Getting Started Select WS 2012
    3. 檢閱並接受授權條款。

    4. 因為磁碟會為空,請選取 [自訂:只安裝 Windows],並使用未初始化的磁碟空間。

  2. 在安裝作業系統版本之後,以新的系統管理員身分登入這台新電腦。 使用控制台將電腦名稱設定為 "PRIVDC",提供虛擬網路上的靜態 IP 位址,並為上一個步驟中安裝的網域控制站設定 DNS 伺服器。 這將需要重新啟動伺服器。

  3. 在伺服器重新啟動之後,以系統管理員的身分登入。 使用 [控制台] 設定電腦來檢查更新,並安裝所需的任何更新。 這可能需要重新啟動伺服器。

  4. 新增 Active Directory 網域服務 (AD DS) 和 DNS 伺服器角色,並將伺服器升級為新樹系的網域控制站。

    1. 以系統管理員身分登入,啟動 PowerShell。

    2. 輸入下列命令。

      import-module ServerManager Install-WindowsFeature AD-Domain-Services,DNS –restart                            –IncludeAllSubFeature -IncludeManagementTools $ca= get-credential Install-ADDSForest –DomainMode 6 –ForestMode 6 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca
      
      

      快顯視窗出現時,提供 CORP 樹系系統管理員的認證 (例如,步驟 1 中的使用者名稱 CONTOSO\Administrator 和對應的密碼)。 然後,這會在 PowerShell 視窗中,提示您輸入要使用的安全模式系統管理員密碼:輸入新密碼兩次。 請注意,將會出現 DNS 委派和密碼編譯設定值的警告訊息,這些都是正常的。

    3. 樹系建立完成之後,將會自動重新啟動伺服器。

  5. 建立使用者和服務帳戶,在 MIM 服務和入口網站安裝期間,在 priv.contoso.local 網域Users 容器中將需要這些項目。

    1. 重新啟動之後,以網域系統管理員的身分 (PRIV\Administrator) 登入PRIVDC

    2. 輸入下列命令,以從群組原則設定更新 DC。

      import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent Set-ADAccountPassword –identity MIMComponent –NewPassword $sp Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 Add-ADGroupMember "Domain Admins" SharePoint Add-ADGroupMember "Domain Admins" MIMService
      
      
  6. 設定稽核和登入權限。

    1. 請確定您以網域系統管理員身分登入 (例如 PRIV\Administrator)。

    2. 移至 [開始]» [系統管理工具] » [群組原則管理]

    3. 瀏覽至樹系: priv.contoso.local、網域、priv.contoso.local、Domain Controllers、Default Domain Controllers Policy 請注意會出現一則警告訊息。

    4. 以滑鼠右鍵按一下 [Default Domain Controllers Policy],在快顯功能表中選取 [編輯]。

    5. 在 [群組原則管理編輯器] 主控台樹狀目錄中,依序瀏覽到 [電腦設定] > [原則] > [Windows 設定] > [安全性設定] > [本機原則] > [稽核原則]

    6. 詳細資料窗格中,以滑鼠右鍵按一下 [稽核帳戶管理],在快顯功能表中選取 [內容]。 按一下 [定義這些原則設定值]、將 [成功] 打勾、將 [失敗] 打勾、按一下 [套用][確定]

    7. 詳細資料窗格中,以滑鼠右鍵按一下 [稽核目錄服務存取],在快顯功能表中選取 [內容]。 按一下 [定義這些原則設定值]、將 [成功] 打勾、將 [失敗] 打勾、按一下 [套用] 和 [確定]。

    8. 關閉 [群組原則管理編輯器] 視窗。

    9. 在 [群組原則管理] 視窗中,選取 [預設網域原則],按一下滑鼠右鍵選取 [編輯]。 將出現 [群組原則管理編輯器] 視窗。

    10. 展開 [電腦設定]、[原則]、[Windows 設定]、[安全性設定]、[本機原則],選取 [使用者權利指派]。

    11. 詳細資料窗格中,以滑鼠右鍵按一下 [拒絕以批次工作登入],然後選取 [內容]。

    12. 按一下 [定義這些原則設定值] 核取方塊,按一下 [新增使用者或群組],在 [使用者和群組名稱] 中輸入 riv\mimmonitor; priv\MIMService; priv\mimcomponent,然後按一下 [確定]。

    13. 按一下 [確定],關閉 [拒絕以批次工作登入 內容] 視窗。

    14. 詳細資料窗格中,以滑鼠右鍵按一下 [拒絕透過遠端桌面服務登入],然後選取 [內容]。

    15. 按一下 [定義這些原則設定值] 核取方塊,按一下 [新增使用者或群組],在 [使用者和群組名稱] 中輸入 priv\mimmonitor; priv\MIMService; priv\mimcomponent,然後按一下 [確定]。

    16. 按一下 [確定],關閉 [拒絕透過遠端桌面服務登入 內容] 視窗。

    17. 關閉 [群組原則管理編輯器] 視窗和 [群組原則管理] 視窗。

  7. 以系統管理員身分啟動 PowerShell 視窗,輸入下列命令,從群組原則設定來更新 DC。

    gpupdate /force /target:computer
    

    一分鐘之後會出現「電腦原則更新已成功完成」的訊息表示完成。

  8. 設定 SID 歷程記錄移轉所需的登錄設定。 啟動 PowerShell 並輸入下列命令,將來源網域設為允許遠端程序呼叫 (RPC) 存取安全性帳戶管理員 (SAM) 資料庫。

    New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1 
    
  9. PRIVDC 上使用 PowerShell,設定 DNS 名稱轉送。 指定 contoso.local 作為 DNS 網域,指定 CORPDC 電腦的虛擬網路 IP 位址作為主要伺服器的 IP 位址。 啟動 PowerShell 並輸入下列命令,將 IP 位址從 "10.1.1.31" 變更為 CORPDC 電腦的虛擬網路 IP 位址。

    Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31  
    
  10. 使用 PowerShell,加入 SPN 以啟用 Kerberos 驗證,供 SharePoint 及 PAM REST API 和 MIM 服務使用 (SharePoint 將在下面步驟 3 設定)。

    setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint setspn -S http/pamsrv PRIV\SharePoint setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
    
    
  11. 設定委派。

    1. 啟動 [Active Directory 使用者和電腦]

    2. 以滑鼠右鍵按一下網域 priv.contoso.local,選取 [委派控制]。

    3. 在 [選取的使用者及群組] 索引標籤上,按一下 [新增]。

    4. 在 [選取使用者、電腦或群組] 快顯視窗中,輸入 mimcomponent; mimmonitor,然後按一下 [檢查名稱]。 當名稱加上底線後,按一下 [確定],然後按 [下一步]。

    5. 在常見的工作清單中,選取 [建立、刪除及管理使用者帳戶] 和 [修改群組成員資格],然後按 [下一步],再按一下 [完成]。

    6. 關閉 [Active Directory 使用者和電腦]

  12. 重新啟動 PRIVDC 伺服器,讓這些變更生效。

顯示: