Olá, pessoal, tudo bem?
No lançamento do Windows Server 2016 foi introduzido um recurso novo chamado Recurso de Gerenciamento de Acesso Privilegiado (Privileged Access Management Feature). que faz parte da estratégia PAM – Microsoft Privileged Access Management (Gerenciamento de Acesso Privilegiado da Microsoft). Quando usado em conjunto com a automação, isso pode ser usado para fornecer acesso just-in-time (JIT) protegido. Quando usado em um ambiente sincronizado com o Azure Active Directory usando o Azure AD Connect, isso pode ser usado para fornecer JIT para soluções híbridas no Microsoft Azure (quando o RBAC foi aplicado aos objetos do Azure Resource Manager).
Na prática você pode adicionar um usuário a um grupo que estará ativo por um tempo limitado. Isso é útil em situações em que você precisa conceder acesso ao seu ambiente de AD a terceiros ou ajudar o pessoal do helpdesk que está solucionando problemas no ambiente, mas não precisa de permissões elevadas permanentemente.
Este mesmo recurso também está presente no Windows Server 2019, então resolver fazer um teste e verificar se realmente este recurso está presente, pois não achei nenhuma documentação oficial da Microsoft informando. Já que o nível da floresta e domínio do Windows Server 2019 não foi alterado, continua em 2016 o mesmo do Windows Server 2016. Realmente funciona no Windows Server 2019.
Para verificar se o recurso está presente faça o seguinte procedimento abaixo.
Abra o Powershell como administrador e execute o seguinte comando:
|
1 |
Get-ADOptionalFeature -Filter {Name -like "Privileged*"} |
Como podemos ver acima, o recurso não possui escopos atualmente, o que prova que ele não está ativado.
Script
Para facilitar, abaixe aqui no meu GitHub todos os comandos utilizados neste artigo.
Requisitos
Para habilitar temos que atender alguns requisitos, são eles:
- Os controladores de domínio devem estar executando o Windows Server 2016 ou 2019.
- Nível funcional florestal deve ser elevado para o modo Windows Server 2016.
- Recurso opcional para gerenciamento de acesso privilegiado deve ser habilitado.
Para aprender a elevar o nível funcional de uma floresta e domínio acesse aqui o artigo do MVP Guido Oliveira, o “fera” do Powershell.
Verifique o nível da floresta e domínio.
Abra o Powershell como administrador e execute os seguintes comandos:
|
1 2 |
(Get-ADForest).ForestMode (Get-ADDomain).DomainMode |
Verifique o Active Directory Domain suffix.
Abra o Powershell como administrador e execute o seguinte comando:
|
1 |
Get-ADDomain | Select-Object DNSRoot | fl |
Passo a Passo
Se você já fez as verificações anteriores e está tudo ok, chegou a hora de habilitar este recurso.
Ativar Recurso de gerenciamento de acesso privilegiado (Privileged Access Management Feature)
Abra o Powershell como administrador e execute o seguinte comando:
|
1 |
Enable-ADOptionalFeature "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target gabrielluiz.local |
Agora vamos verificar se o Recurso de gerenciamento de acesso privilegiado (Privileged Access Management Feature)
Abra o Powershell como administrador e execute o seguinte comando:
|
1 |
Get-ADOptionalFeature -filter {name -like "Privileged*"} |
Configuração de membros do grupo baseados em tempo
Vou demostrar um exemplo prático, imagine a seguinte situação, precisamos conceder acesso como administrador a um colaborador para execução de uma tarefa dentro da sua organização, mas apenas 30 minutos, o suficiente para o colaborador executar esta tarefa.
Primeira tarefa e identificar o atributo SamAccountName dos seus usuários do Active Directory.
Abra o Powershell como administrador e execute o seguinte comando:
|
1 |
Get-ADUser -Filter * | Select SamAccountName |
Com o atributo SamAccountName já identificado do colaborador que deseja atribuir o acesso como administrador do domínio por um determinador período.
Ativa a configuração de membros do grupo baseados em tempo para usuário gabriel.luiz.
Abra o Powershell como administrador e execute o seguinte comando:
|
1 |
Add-ADGroupMember -Identity ' Administradores do Domínio' -Members 'gabriel.luiz' -MemberTimeToLive (New-TimeSpan -Minutes 30) |
Para verificar o valor de tempo de vida do usuário gabriel.luiz pode ser recuperado executando o Get-ADGroup.
Abra o Powershell como administrador e execute o seguinte comando:
|
1 |
Get-ADGroup 'Administradores do Domínio' -Properties Member -ShowMemberTimeToLive |
É isso mesmo! Após 30 minutos, o usuário gabriel.luiz não será mais membro do grupo Administradores do Domínio, e nenhuma ação manual é necessária para retirada do usuário gabriel.luiz do grupo Administradores do Domínio.
Referências
https://docs.microsoft.com/en-us/powershell/module/addsadministration/get-adgroup?view=win10-ps
https://docs.microsoft.com/en-us/powershell/module/addsadministration/get-aduser?view=win10-ps
https://docs.microsoft.com/en-us/powershell/module/addsadministration/get-adforest?view=win10-ps
https://docs.microsoft.com/en-us/powershell/module/addsadministration/get-addomain?view=win10-ps
Inscreva-se no meu canal do YouTube!
Há 10 anos atuo na área de TI focado em suporte e administração de infraestrutura, especializado em plataformas Microsoft. Tenho grande experiência em troubleshooting, implantação, configuração e administração de funções e recursos de tecnologia Microsoft. Formado em Redes de Computadores pela faculdade Estácio de Sá de Belo Horizonte.
Comecei a compartilhar o meu conhecimento no ano de 2012, fazendo artigos e vídeos para o meu Blog. Em 2017 comecei a escrever artigos para o portal Cooperati.
Sou apaixonado em compartilhar o meu conhecimento. Meu lema é: um conhecimento só é válido quando compartilhado.
No responses yet