Verzija Active Directory predstavljena u sustavu Windows Server 2016 uvela je niz prilično zanimljivih promjena. Danas ćemo razmotriti mogućnost privremenog članstva korisnika u Active Directory grupama. Ova se funkcionalnost može koristiti kada trebate dodijeliti korisniku određena prava koja se temelje na članstvu u sigurnosnoj grupi AD-a na određeno vrijeme, a nakon isteka vremena, automatski (bez uključivanja administratora) da biste ga lišili tih prava.
Privremeno članstvo u AD Grupi (privremen grupa članstvo) implementira se pomoću nove značajke Windows Server 2016 pod nazivom privilegovan pristup upravljanje svojstvo. Slično kao AD koš za smeće nakon aktivacije, PAM ne može biti onemogućen..
Da biste provjerili je li PAM funkcionalnost omogućena u trenutnoj šumi, koristite sljedeću naredbu PowerShell:
Get-ADOtionalFeature -filter *
Zanima nas vrijednost parametra EnableScopes, u ovom primjeru je prazan. To znači da funkcionalnost privilegirane značajke upravljanja pristupom domeni nije omogućena..
Da biste ga aktivirali, upotrijebite naredbu omogućiti-ADOptionalFeature, kao jedan od parametara morate navesti naziv domene:
Omogući-ADOtionalFeature 'Privilegirana značajka upravljanja pristupom' -Scope ForestOrConfigurationSet -Carget contoso.com
Nakon aktiviranja PAM-a, koristeći poseban argument MemberTimeToLive Možete pokušati dodati korisnika u AD grupu pomoću cmdleta Add-ADGroupMember. Ali prvo pomoću cmdleta Novo-RAZDOBLJE postavi vremenski interval (TTL) za koji se korisniku mora odobriti pristup. Pretpostavimo da želimo uključiti test test1 u grupu administratora domene na 5 minuta:
$ ttl = New-TimeSpan -Minute 5
Add-ADGroupMember -Identity "Administrator domena" -Members test1 -MemberTimeToLive $ ttl
Upotrijebite cmdlet Get-ADGroup za provjeru preostalog vremena tijekom kojeg će korisnik biti u grupi:Get-ADGroup 'Administrator domena' -Prodaja vlasništva -ShowMemberTimeToLive
U rezultatima izvršavanja naredbi među članovima grupe možete vidjeti zapis formata, što znači da će korisnik test1 biti u grupi Administratori domene još 246 sekundi. Tada će se automatski ukloniti iz grupe. Istovremeno istječe i Kerberosova karta korisnika. To se ostvaruje zbog činjenice da za korisnika s privremenim članstvom u AD grupi, KDC izdaje kartu s vijekom trajanja jednakom manjoj od preostalih TTL vrijednosti.
Prije toga, za implementaciju privremenog članstva u AD grupama morali ste koristiti dinamičke objekte, razne skripte ili složene sustave (FIM itd.). Sada je u sustavu Windows Server 2016 ova pogodna značajka dostupna izvan okvira..