Wersja usługi Active Directory wprowadzona w systemie Windows Server 2016 wprowadziła szereg dość interesujących zmian. Dzisiaj rozważymy możliwość tymczasowego członkostwa użytkowników w grupach Active Directory. Z tej funkcji można skorzystać, gdy trzeba przyznać użytkownikowi określone prawa na podstawie członkostwa w grupie zabezpieczeń AD przez określony czas, a po upływie tego czasu automatycznie (bez udziału administratora) w celu pozbawienia go tych uprawnień.
Tymczasowe członkostwo w grupie AD (Tymczasowe Grupa Członkostwo) jest implementowany przy użyciu nowej funkcji systemu Windows Server 2016 o nazwie Uprzywilejowany Access Zarządzanie Funkcja. Podobnie do Kosza AD po aktywacji, PAM nie może zostać wyłączony..
Aby sprawdzić, czy funkcja PAM jest włączona w bieżącym lesie, użyj następującego polecenia PowerShell:
Get-ADOptionalFeature-filter *
Interesuje nas wartość tego parametru Lunety, w tym przykładzie jest pusty. Oznacza to, że funkcja uprzywilejowanej funkcji zarządzania dostępem dla domeny nie jest włączona..
Aby go aktywować, użyj polecenia Włącz-ADOptionalFeature, jako jeden z parametrów musisz podać nazwę domeny:
Enable-ADOptionalFeature „Uprzywilejowana funkcja zarządzania dostępem” - Scope ForestOrConfigurationSet - Cel contoso.com
Po aktywacji PAM za pomocą specjalnego argumentu MemberTimeToLive Możesz spróbować dodać użytkownika do grupy AD za pomocą polecenia cmdlet Add-ADGroupMember. Ale najpierw za pomocą polecenia cmdlet Nowy timepan ustaw przedział czasu (TTL), do którego użytkownik musi uzyskać dostęp. Załóżmy, że chcemy dołączyć użytkownika test1 do grupy administratorów domeny na 5 minut:
$ ttl = New-TimeSpan -Muts 5
Add-ADGroupMember -Identity „Administratorzy domeny” -Members test1 -MemberTimeToLive $ ttl
Użyj polecenia cmdlet Get-ADGroup, aby sprawdzić pozostały czas, w którym użytkownik będzie w grupie:Get-ADGroup „Domain Admins” -Property member -ShowMemberTimeToLive
W wynikach wykonania polecenia wśród członków grupy można zobaczyć rekord formatu, co oznacza, że użytkownik test1 będzie w grupie Administratorzy domeny przez kolejne 246 sekund. Następnie zostanie automatycznie usunięty z grupy. W tym samym czasie wygasł również bilet Kerberos użytkownika. Wynika to z faktu, że dla użytkownika posiadającego tymczasowe członkostwo w grupie AD KDC wydaje bilet o czasie życia równym mniejszej z pozostałych wartości TTL.
Wcześniej, aby wdrożyć tymczasowe członkostwo w grupach AD, trzeba było używać obiektów dynamicznych, różnych skryptów lub złożonych systemów (FIM itp.). Teraz w systemie Windows Server 2016 ta wygodna funkcja jest dostępna od razu po wyjęciu z pudełka..
