Verzia služby Active Directory uvedená v systéme Windows Server 2016 priniesla množstvo pomerne zaujímavých zmien. Dnes zvážime možnosť poskytovania dočasného členstva používateľov v skupinách služby Active Directory. Túto funkciu je možné použiť, keď potrebujete používateľovi udeliť určitá práva na základe členstva v bezpečnostnej skupine AD na určitý čas a po uplynutí tohto času automaticky (bez zapojenia správcu), aby ho zbavil týchto práv..
Dočasné členstvo v skupine AD (dočasný skupina členstva) je implementovaná pomocou novej funkcie systému Windows Server 2016 s názvom privilegovaný prístup management vlastnosť. Podobne ako v Koši po aktivácii nie je možné PAM deaktivovať..
Ak chcete skontrolovať, či je funkcia PAM v aktuálnej doménovej štruktúre povolená, použite nasledujúci príkaz PowerShell:
Získajte ADOptionalFeature -filter *
Zaujíma nás hodnota parametra EnableScopes, v tomto príklade je prázdna. To znamená, že funkcia funkcie Privileged Access Management pre doménu nie je povolená..
Ak ho chcete aktivovať, použite príkaz umožniť-ADOptionalFeature, ako jeden z parametrov musíte zadať názov domény:
Enable-ADOptionalFeature 'Privileged Access Management Feature' (Vlastnosť správy privilegovaných prístupov) -Scope ForestOrConfigurationSet -Target contoso.com
Po aktivácii PAM pomocou špeciálneho argumentu MemberTimeToLive Môžete skúsiť pridať používateľa do skupiny AD pomocou rutiny Add-ADGroupMember. Najprv však pomocou rutiny cmdlet New-TimeSpan nastaviť časový interval (TTL), pre ktorý musí byť používateľovi povolený prístup. Predpokladajme, že chceme zahrnúť užívateľa test1 do skupiny administrátorov domén na 5 minút:
$ ttl = New-TimeSpan - Minutes 5
Add-ADGroupMember --Identity "Domain Admins" -Members test1 -MemberTimeToLive $ ttl
Pomocou rutiny Get-ADGroup skontrolujte zostávajúci čas, počas ktorého bude používateľ v skupine:Get-ADGroup 'Domain Admins' - Majiteľ člen -ShowMemberTimeToLive
Vo výsledkoch vykonania príkazu medzi členmi skupiny môžete vidieť záznam formátu, čo znamená, že užívateľ test1 bude v skupine Domain Admins ďalších 246 sekúnd. Potom bude automaticky odstránený zo skupiny. Zároveň vyprší platnosť lístka Kerberos používateľa. Dôvodom je skutočnosť, že pre používateľa s dočasným členstvom v skupine AD vydáva spoločnosť KDC lístok so životnosťou rovnajúcou sa menšej zo zvyšných hodnôt TTL..
Predtým, na implementáciu dočasného členstva v AD skupinách, ste museli používať dynamické objekty, rôzne skripty alebo zložité systémy (FIM atď.). V systéme Windows Server 2016 je táto praktická funkcia k dispozícii hneď po vybalení..
