手順 2 - 最初の PRIV ドメイン コントローラーを準備する

この手順では、管理者認証用の要塞環境を提供する新しいドメインを作成します。 このフォレストには、少なくとも 1 つのドメイン コントローラー、メンバー ワークステーション、および少なくとも 1 つのメンバー サーバーが必要です。 メンバー サーバーは、次の手順で構成されます。

新しい Privileged Access Management ドメイン コントローラーを作成する

このセクションでは、新しいフォレストのドメイン コントローラーとして機能する仮想マシンを設定します。

Windows Server 2016 以降をインストールする

ソフトウェアがインストールされていない別の新しい仮想マシンに Windows Server 2016 以降をインストールして、コンピューターを "PRIVDC" にします。

1. Windows Server の (アップグレードではなく) カスタム インストールを選択して実行します。 インストールする場合は、 Windows Server 2016 (デスクトップ エクスペリエンス搭載サーバー); を指定します。 を選択しないでください Data Center または Server Core。

2. ライセンス条項を確認して同意します。

3. ディスクは空になるため、 Custom: Windows のみをインストールします 初期化されていないディスク領域を使用します。

4. オペレーティング システムのバージョンをインストールしたら、この新しいコンピューターに新しい管理者としてサインインします。 コントロール パネルを使用して、コンピューター名を PRIVDC に設定します。 ネットワーク設定で、仮想ネットワーク上の静的 IP アドレスを指定し、前の手順でインストールしたドメイン コントローラーの DNS サーバーを構成します。 サーバーを再起動する必要があります。

5. サーバーが再起動したら、管理者としてサインインします。 [コントロール パネル] を使用して、更新を確認し、必要な更新をインストールするようにコンピューターを構成します。 更新プログラムをインストールするには、サーバーの再起動が必要な場合があります。

ロールを追加する

Active Directory ドメイン サービス (AD DS) と DNS サーバーの役割を追加します。

1. PowerShellを管理者として起動します。

2. 次のコマンドを入力して、Windows Server Active Directory のインストールを準備します。

   import-module ServerManager
   
   Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools
   

SID 履歴移行のレジストリ設定を構成する

PowerShell を起動し、次のコマンドを入力して、セキュリティ アカウント マネージャー (SAM) データベースへのリモート プロシージャ コール (RPC) アクセスを許可するようにソース ドメインを構成します。

New-ItemProperty –Path HKLM:SYSTEM\CurrentControlSet\Control\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1

新しい Privileged Access Management フォレストを作成する

次に、サーバーを新しいフォレストのドメイン コントローラーに昇格させます。

このガイドでは、priv.contoso.local という名前を新しいフォレストのドメイン名として使用します。 フォレストの名前は重要ではなく、組織内の既存のフォレスト名に従属している必要はありません。 ただし、新しいフォレストのドメイン名と NetBIOS 名は、組織内の他のドメインと重複せず、一意である必要があります。

ドメインとフォレストを作成する

1. PowerShell ウィンドウで、次のコマンドを入力して新しいドメインを作成します。 これらのコマンドは、前の手順で作成した上位ドメイン (contoso.local) にも DNS 委任を作成します。 後で DNS を構成する場合は、 CreateDNSDelegation -DNSDelegationCredential $ca パラメーターを省略します。

   $ca= get-credential
   Install-ADDSForest –DomainMode 7 –ForestMode 7 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca
   

2. DNS 委任を構成するポップアップが表示されたら、CORP フォレスト管理者の資格情報を指定します。このガイドでは、CONTOSO\Administrator というユーザー名と、手順 1 の対応するパスワードを指定します。

3. PowerShell ウィンドウで、使用するセーフ モード管理者パスワードの入力を求められます。 新しいパスワードを 2 回入力します。 DNS 委任と暗号化設定の警告メッセージが表示されます。これらは正常です。

フォレストの作成が完了すると、サーバーは自動的に再起動します。

ユーザーおよびサービス アカウントの作成

MIM サービスとポータルのセットアップ用のユーザー アカウントとサービス アカウントを作成します。 これらのアカウントは、priv.contoso.local ドメインの Users コンテナーに格納されます。

1. サーバーが再起動したら、ドメイン管理者 (PRIV\Administrator) として PRIVDC にサインインします。

2. PowerShell を起動し、次のコマンドを入力します。 パスワード 'Pass@word1' は単なる例であり、アカウントに別のパスワードを使用する必要があります。

   import-module activedirectory
   
   $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   
   New-ADUser –SamAccountName MIMMA –name MIMMA
   
   Set-ADAccountPassword –identity MIMMA –NewPassword $sp
   
   Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor
   
   Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp
   
   Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent
   
   Set-ADAccountPassword –identity MIMComponent –NewPassword $sp
   
   Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMSync –name MIMSync
   
   Set-ADAccountPassword –identity MIMSync –NewPassword $sp
   
   Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName MIMService –name MIMService
   
   Set-ADAccountPassword –identity MIMService –NewPassword $sp
   
   Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName SharePoint –name SharePoint
   
   Set-ADAccountPassword –identity SharePoint –NewPassword $sp
   
   Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName SqlServer –name SqlServer
   
   Set-ADAccountPassword –identity SqlServer –NewPassword $sp
   
   Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
   
   New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
   
   Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
   
   Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
   
   New-ADUser -SamAccountName MIMAdmin -name MIMAdmin
   
   Set-ADAccountPassword –identity MIMAdmin  -NewPassword $sp
   
   Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1
   
   Add-ADGroupMember "Domain Admins" SharePoint
   
   Add-ADGroupMember "Domain Admins" MIMService
   

監査およびログオン権限の構成

PAM 構成をフォレスト間で確立するには、監査を設定する必要があります。

1. ドメイン管理者 (PRIV\Administrator) としてサインインしていることを確認します。

2. Start>Windows 管理ツール>グループ ポリシー管理に移動します。

3. Forest: priv.contoso.local>Domains>priv.contoso.local>Domain Controllers>Default Domain Controllers Policy に移動します。 警告メッセージが表示されます。

4. 既定のドメイン コントローラー ポリシーを右クリックし編集選択。

5. グループ ポリシー管理エディターコンソール ツリーで、 Computer Configuration>Policies>Windows Settings>Security Settings>Local Policies>Audit Policy に移動します。

6. [詳細] ウィンドウで、Audit アカウント管理を右クリックしProperties を選択します。 [これらのポリシー設定定義]をクリックしSuccessチェックボックスをオンにし、Failureチェックボックスをオンにして、[ApplyをクリックしてOKをします。

7. [詳細] ウィンドウで、Audit ディレクトリ サービス アクセスを右クリックしProperties を選択します。 [これらのポリシー設定定義]をクリックしSuccessチェックボックスをオンにし、Failureチェックボックスをオンにして、[ApplyをクリックしてOKをします。

8. Computer Configuration>Policies>Windows 設定>Security Settings>Account Policies>Kerberos Policy に移動します。

9. [詳細] ウィンドウで、ユーザー チケットの Maximum 有効期間を右クリックしProperties を選択します。 [これらのポリシー設定定義] をクリックし時間数を [1] に設定し[ApplyをクリックしてOKをします。 ウィンドウ内の他の設定も変更されることに注意してください。

10. [グループ ポリシーの管理] ウィンドウで、[既定のドメイン ポリシーを選択し、右クリックして Edit を選択します。

11. Computer Configuration>Policies>Windows 設定>Security Settings>Local Policies を展開し、User Rights Assignment を選択します。

12. [詳細] ウィンドウで、バッチ ジョブとして Deny ログオンを右クリックしPropertiesを選択します。

13. [これらのポリシーの設定を定義する] チェック ボックスをオンにし、[ ユーザーまたはグループの追加] をクリックし、[ユーザー名とグループ名] フィールドに「priv\mimmonitor; priv\MIMService; priv\mimcomponentを入力してOKをクリックします。

14. [OK] をクリックしてウィンドウを閉じます。

15. [詳細] ウィンドウで、リモート デスクトップ サービスを使用して Deny ログオンを右クリックしProperties を選択します。

16. [これらのポリシー設定の定義] チェック ボックス をオンにし、[ユーザーまたはグループの追加] をクリックし、[ユーザー名とグループ名] フィールドに「priv\mimmonitor; priv\MIMService; priv\mimcomponent」と入力しok OK をクリックします。

17. [OK] をクリックしてウィンドウを閉じます。

18. [グループ ポリシー管理エディター] ウィンドウと [グループ ポリシー管理] ウィンドウを閉じます。

19. 管理者として PowerShell ウィンドウを起動し、次のコマンドを入力してグループ ポリシー設定からドメイン コント ローラーを更新します。

    gpupdate /force /target:computer
    

    1 分後に、"コンピューター ポリシーの更新が正常に完了しました" というメッセージが表示されます。

PRIVDC で DNS 名の転送を構成する

PRIVDC で PowerShell を使用して、PRIV ドメインが他の既存のフォレストを認識できるように DNS 名転送を構成します。

1. PowerShell を起動します。

2. 既存の各フォレストの上部にあるドメインごとに、次のコマンドを入力します。 そのコマンドで、既存の DNS ドメイン (contoso.local など) と、そのドメインのプライマリ DNS サーバーの IP アドレスを指定します。

   前の手順で 10.1.1.31 を IP アドレスとして 1 つのドメイン contoso.local を作成した場合は、CORPDC コンピューターの仮想ネットワーク IP アドレスに 10.1.1.31 を指定します。

   Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31
   

Kerberos の構成

1. PowerShell を使用して、SharePoint、PAM REST API、MIM サービスで Kerberos 認証を使用できるように SPN を追加します。

   setspn -S http/pamsrv.priv.contoso.local PRIV\SharePoint
   setspn -S http/pamsrv PRIV\SharePoint
   setspn -S FIMService/pamsrv.priv.contoso.local PRIV\MIMService
   setspn -S FIMService/pamsrv PRIV\MIMService
   

MIM サービス アカウントにアクセス権を付与するように委任を構成する

PRIVDC でドメイン管理者として次の手順を実行します。

1. Active Directory ユーザーとコンピューターを起動します。

2. ドメイン priv.contoso.local を右クリックし、 Delegate Control を選択します。

3. [選択したユーザーとグループ] タブで、[追加] クリック。

4. [ユーザー、コンピューター、またはグループの選択] ウィンドウで、「 mimcomponent; mimmonitor; mimservice 」と入力し、[名前の チェック] をクリック。 名前の下線を引いた後、OKをクリックし、[次へ。

5. 一般的なタスクの一覧で、[ユーザー アカウントの作成、削除、管理] を選択しグループのメンバーシップを変更して次へをクリック し、Finish をクリックします。

6. ここでも、ドメイン priv.contoso.local を右クリックし、 Delegate Control を選択します。

7. [選択したユーザーとグループ] タブで、[追加] クリック。

8. [ユーザー、コンピューター、またはグループの選択] ウィンドウで、「MIMAdmin」と入力し名前の確認をクリックします。 名前の下線を引いた後、OKをクリックし、[次へ。

9. custom タスクを選択、General アクセス許可を持つこのフォルダーに適用。

10. アクセス許可の一覧で、次のアクセス許可を選択します。

    • 読み取り
    • 書き込み
    • すべての子オブジェクトを作成する
    • すべての子オブジェクトを削除する
    • すべてのプロパティの読み取り
    • すべてのプロパティを書き込む
    • SID 履歴の移行

11. [次へをクリックし、次のをします。

12. もう一度、ドメイン priv.contoso.local を右クリックし、 Delegate Control を選択します。

13. [選択したユーザーとグループ] タブで、[追加] クリック。

14. [ユーザー、コンピューター、またはグループの選択] ウィンドウで、「MIMAdmin」と入力し名前の確認をクリックします。 名前に下線が付いた後、OKをクリックし、[次へします。

15. タスク 選択しこのフォルダー 適用しユーザー オブジェクト クリックします。

16. アクセス許可の一覧で Change password を選択し、パスワードの設定します。 次に、[次へ] をクリックし次に [完了] を。

17. [Active Directory ユーザーとコンピューター] を閉じます。

18. コマンド プロンプトを開きます。

19. PRIV ドメインの Admin SD Holder オブジェクトのアクセス制御リストを確認します。 たとえば、ドメインが "priv.contoso.local" の場合は、次のコマンドを入力します。

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local"
    

20. 必要に応じてアクセス制御リストを更新して、MIM サービスと MIM PAM コンポーネント サービスがこの ACL によって保護されているグループのメンバーシップを更新できるようにします。 次のコマンドを入力します。

    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimservice:WP;"member"
    dsacls "cn=adminsdholder,cn=system,dc=priv,dc=contoso,dc=local" /G priv\mimcomponent:WP;"member"
    

Windows Server 2016 で PAM を構成する

次に、MIM 管理者と MIM サービス アカウントにシャドウ プリンシパルの作成と更新を承認します。

1. PRIV フォレストに存在し、有効になっている Windows Server 2016 Active Directory の特権アクセス管理機能を有効にします。 管理者として PowerShell ウィンドウを起動し、次のコマンドを入力します。

   $of = get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"
   Enable-ADOptionalFeature $of -scope ForestOrConfigurationSet -target "priv.contoso.local"
   

2. PowerShell ウィンドウを起動し、「ADSIEdit」と入力します。

3. [アクション] メニューを開き、[接続先] をクリックします。 接続ポイントの設定で、名前付けコンテキストを "既定の名前付けコンテキスト" から "構成" に変更し、[OK] をクリックします。

4. 接続後、[ADSI Edit]\(ADSI 編集\) の下のウィンドウの左側で、[構成] ノードを展開して "CN=Configuration,DC=priv,...." を表示します。 [CN=構成] を展開し、[CN=Services] を展開します。

5. [CN=シャドウ プリンシパルの構成] を右クリックし、[プロパティ] をクリックします。 プロパティ ダイアログが表示されたら、[セキュリティ] タブに移動します。

6. 追加をクリックします。 アカウント "MIMService" と、後で New-PAMGroup を実行して追加の PAM グループを作成する他の MIM 管理者を指定します。 各ユーザーについて、許可されたアクセス許可の一覧で、"書き込み"、"すべての子オブジェクトの作成"、および "すべての子オブジェクトの削除" を追加します。 アクセス許可を追加します。

7. [セキュリティの詳細設定] に変更します。 MIMService アクセスを許可する行で、[編集] をクリックします。 [適用対象] 設定を [このオブジェクトとすべての子孫オブジェクトに適用] に変更します。 このアクセス許可の設定を更新し、セキュリティ ダイアログ ボックスを閉じます。

8. [ADSI エディター] を閉じます。

9. 次に、MIM 管理者が認証ポリシーを作成および更新することを承認します。 管理者特権の コマンド プロンプトを起動し 次のコマンドを入力します。MIM 管理者アカウントの名前は、4 行ごとに "mimadmin" に置き換えます。

   dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicy /i:s
   
   dsacls "CN=AuthN Policies,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicy
   
   dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:RPWPRCWD;;msDS-AuthNPolicySilo /i:s
   
   dsacls "CN=AuthN Silos,CN=AuthN Policy Configuration,CN=Services,CN=configuration,DC=priv,DC=contoso,DC=local" /g mimadmin:CCDC;msDS-AuthNPolicySilo
   

10. これらの変更が反映されるように、PRIVDC サーバーを再起動します。

PRIV ワークステーションを準備する

ワークステーションを準備するには、次の手順に従います。 このワークステーションは、PRIV リソース (MIM など) のメンテナンスを実行するために PRIV ドメインに参加します。

Windows 10 Enterprise のインストール

ソフトウェアがインストールされていない別の新しい仮想マシンに Windows 10 Enterprise をインストールして、コンピューターを "PRIVWKSTN" します。

1. インストールの間は Express 設定を使用します。

2. インストールがインターネットに接続できない場合があることに注意してください。 クリックして ローカル アカウントを作成します。 別のユーザー名を指定します。"Administrator" または "Jen" は使用しないでください。

3. コントロール パネルを使用して、このコンピューターに仮想ネットワーク上の静的 IP アドレスを指定し、インターフェイスの優先 DNS サーバーを PRIVDC サーバーの DNS サーバーに設定します。

4. コントロール パネルを使用して、PRIVWKSTN コンピューターを priv.contoso.local ドメインにドメイン参加させます。 この手順では、PRIV ドメイン管理者の資格情報を指定する必要があります。 これが完了したら、コンピューター PRIVWKSTN を再起動します。

5. 64 ビット Windows 用の Visual C++ 2013 再頒布可能パッケージ をインストールします。

詳細については、セキュリティで保護された特権アクセス ワークステーション 参照してください。

次の手順では、PAM サーバーを準備します。