Različica Active Directory, predstavljena v Windows Server 2016, je prinesla številne dokaj zanimive spremembe. Danes bomo razmislili o možnosti začasnega članstva uporabnikov v skupinah Active Directory. To funkcijo lahko uporabljate, ko morate uporabniku za določen čas podeliti določene pravice, ki temeljijo na članstvu v varnostni skupini AD, in po poteku časa samodejno (brez vključevanja skrbnika), da mu odvzamete te pravice.
Začasno članstvo v skupini AD (Začasna Skupina Članstvo) se izvaja z novo funkcijo Windows Server 2016, imenovano Privilegiran Dostop Upravljanje Značilnost. Podobno kot AD koš za smeti po aktivaciji, PAM ni mogoče onemogočiti..
Če želite preveriti, ali je funkcija PAM omogočena v trenutnem gozdu, uporabite naslednji ukaz PowerShell:
Get-ADOtionalFeature -filter *
Zanima nas vrednost parametra Omogoča slikanje, v tem primeru je prazen. To pomeni, da funkcionalnost funkcije privilegiranega upravljanja dostopa za domeno ni omogočena..
Če ga želite aktivirati, uporabite ukaz Omogoči-ADOtionalFeature, kot enega od parametrov morate določiti ime domene:
Omogoči-ADOtionalFeature 'Privilegirana funkcija za upravljanje dostopa' -Scope ForestOrConfigurationSet -Carget contoso.com
Po aktiviranju PAM-a s posebnim argumentom MemberTimeToLive Uporabnika lahko poskusite dodati v skupino AD z ukaznim nizom Add-ADGroupMember. Toda najprej z uporabo cmdleta Novoletni čas nastavite časovni interval (TTL), do katerega mora biti uporabniku odobren dostop. Recimo, da želimo uporabnika test1 vključiti v skupino skrbnikov domene za 5 minut:
$ ttl = New-TimeSpan -Minute 5
Add-ADGroupMember -Identity "Domain Admins" -Members test1 -MemberTimeToLive $ ttl
Z ukaznim ukazom Get-ADGroup preverite preostali čas, v katerem bo uporabnik v skupini:Get-ADGroup "Administratorji domene" -Člani lastništva -ShowMemberTimeToLive
V rezultatih izvajanja ukaza si lahko med člani skupine ogledate zapis zapisa, kar pomeni, da bo uporabniški test1 v skupini Administratorji domene še 246 sekund. Potem bo samodejno odstranjen iz skupine. Istočasno poteče tudi Kerberosova vozovnica uporabnika. To je posledica dejstva, da za uporabnika z začasnim članstvom v skupini AD KDC izda vozovnico z življenjsko dobo, ki je enaka manjši od preostalih vrednosti TTL.
Pred tem ste morali za izvajanje začasnega članstva v skupinah AD uporabiti dinamične predmete, različne skripte ali zapletene sisteme (FIM itd.). Zdaj je v operacijskem sistemu Windows Server 2016 ta priročna funkcija na voljo brez težav..
