Versi Active Directory yang diperkenalkan di Windows Server 2016 memperkenalkan sejumlah perubahan yang cukup menarik. Hari ini kami akan mempertimbangkan kemungkinan menyediakan keanggotaan sementara pengguna dalam grup Direktori Aktif. Fungsionalitas ini dapat digunakan ketika Anda perlu memberikan pengguna hak-hak tertentu berdasarkan keanggotaan dalam grup keamanan AD untuk waktu tertentu, dan setelah waktu berakhir, secara otomatis (tanpa melibatkan administrator) untuk merampas hak-hak ini dari dirinya..
Keanggotaan Grup Iklan Sementara (Sementara Grup Keanggotaan) diimplementasikan menggunakan fitur Windows Server 2016 baru yang disebut Hak istimewa Akses Manajemen Fitur. Mirip dengan AD Recycle Bin setelah aktivasi, PAM tidak dapat dinonaktifkan..
Untuk memeriksa apakah fungsionalitas PAM diaktifkan di forest saat ini, gunakan perintah PowerShell berikut:
Dapatkan-ADOptionalFeature -filter *
Kami tertarik pada nilai parameter Enablescopes, dalam contoh ini, kosong. Ini berarti bahwa fungsionalitas Fitur Manajemen Akses Privileged untuk domain tidak diaktifkan..
Untuk mengaktifkannya, gunakan perintah Aktifkan-Fitur ADOptional, sebagai salah satu parameter yang Anda butuhkan untuk menentukan nama domain:
Enable-ADOptionalFeature 'Fitur Manajemen Akses Istimewa' -Scope ForestOrConfigurationSet -Target contoso.com
Setelah mengaktifkan PAM, gunakan argumen khusus MemberTimeToLive Anda dapat mencoba menambahkan pengguna ke grup AD dengan cmdlet Add-ADGroupMember. Tapi pertama-tama, gunakan cmdlet Timepan baru mengatur interval waktu (TTL) di mana pengguna harus diberikan akses. Misalkan kita ingin memasukkan pengguna test1 dalam grup administrator domain selama 5 menit:
$ ttl = New-TimeSpan -Minutes 5
Add-ADGroupMember -Identity "Admin Domain" -Members test1 -MemberTimeToLive $ ttl
Gunakan cmdlet Get-ADGroup untuk memeriksa sisa waktu di mana pengguna akan berada di grup:Dapatkan-ADGroup 'Domain Admin' -Properti anggota -ShowMemberTimeToLive
Di hasil pelaksanaan perintah, di antara anggota grup, Anda dapat melihat catatan format, yang berarti bahwa test1 pengguna akan berada di grup Admin Domain selama 246 detik. Maka itu akan dihapus secara otomatis dari grup. Pada saat yang sama, tiket pengguna Kerberos juga kedaluwarsa. Ini diwujudkan karena fakta bahwa untuk pengguna dengan keanggotaan sementara dalam grup AD, KDC mengeluarkan tiket dengan masa pakai yang sama dengan yang lebih kecil dari nilai TTL yang tersisa.
Sebelumnya, untuk menerapkan keanggotaan sementara dalam grup AD, Anda harus menggunakan objek dinamis, berbagai skrip, atau sistem kompleks (FIM, dll.). Sekarang, di Windows Server 2016, fitur nyaman ini tersedia di luar kotak..
