Dočasné členství ve skupině služby Active Directory

Verze služby Active Directory představená v systému Windows Server 2016 přinesla řadu docela zajímavých změn. Dnes zvážíme možnost poskytnutí dočasného členství uživatelů ve skupinách služby Active Directory. Tuto funkci lze použít, když potřebujete uživateli udělit určitá práva na základě členství ve skupině zabezpečení AD na určitou dobu a po uplynutí této doby automaticky (bez zapojení správce), aby mu byla tato práva připravena..

Dočasné členství ve skupině AD (Dočasné Skupina Členství) je implementována pomocí nové funkce Windows Server 2016 s názvem Privileged Přístup Řízení Funkce. Podobně jako Koš po aktivaci nelze PAM deaktivovat..

Chcete-li zkontrolovat, zda je funkce PAM v aktuální doménové struktuře povolena, použijte následující příkaz PowerShell:

Get-ADOptionalFeature -filter *

Zajímá nás hodnota parametru Enablescopes, v tomto příkladu je prázdný. To znamená, že funkce funkce Privileged Access Management pro doménu není povolena..

Chcete-li jej aktivovat, použijte příkaz Povolit-ADOptionalFeature, jako jeden z parametrů je třeba zadat název domény:

Enable-ADOptionalFeature 'Privileged Access Management Feature' (Funkce správy privilegovaných přístupů) -Scope ForestOrConfigurationSet -Target contoso.com

Po aktivaci PAM pomocí speciálního argumentu MemberTimeToLive Můžete se pokusit přidat uživatele do skupiny AD pomocí rutiny Add-ADGroupMember. Nejdříve ale pomocí rutiny New-timepan nastavit časový interval (TTL), pro který musí být uživateli udělen přístup. Předpokládejme, že chceme zahrnout uživatele test1 do skupiny administrátorů domény po dobu 5 minut:

$ ttl = New-TimeSpan - Minutes 5
Add-ADGroupMember --Identity "Domain Admins" -Members test1 -MemberTimeToLive $ ttl

Pomocí rutiny Get-ADGroup zkontrolujte zbývající dobu, po kterou bude uživatel ve skupině:
Získejte-ADGroup 'Domain Admins' -Property člen -ShowMemberTimeToLive

Ve výsledcích provádění příkazu můžete mezi členy skupiny vidět záznam formátu, což znamená, že uživatel test1 bude po dobu dalších 246 sekund ve skupině Domain Admins. Poté bude automaticky odstraněn ze skupiny. Současně vyprší platnost lístku Kerberos uživatele. Důvodem je skutečnost, že pro uživatele s dočasným členstvím ve skupině AD vydává KDC lístek s životností rovnou menší ze zbývajících hodnot TTL.

Dříve, k implementaci dočasného členství ve AD skupinách, jste museli používat dynamické objekty, různé skripty nebo komplexní systémy (FIM atd.). Nyní je v systému Windows Server 2016 tato praktická funkce k dispozici hned po vybalení..