Версията на Active Directory, въведена в Windows Server 2016, въведе редица доста интересни промени. Днес ще разгледаме възможността за осигуряване на временно членство на потребителите в Active Directory групи. Тази функционалност може да се използва, когато трябва да предоставите на потребителя определени права въз основа на членство в групата за сигурност на AD за определено време и след като изтече времето, автоматично (без да включва администратор), за да го лишите от тези права.
Временно членство в AD Group (временен група членство) се реализира с помощта на новата функция на Windows Server 2016, наречена привилегирован достъп управление особеност. Подобно на AD кошчето след активиране, PAM не може да бъде деактивиран..
За да проверите дали функцията PAM е активирана в текущата гора, използвайте следната команда PowerShell:
Вземете-ADOtionalFeature -filter *
Интересуваме се от стойността на параметъра EnableScopes, в този пример той е празен. Това означава, че функционалността на функцията за привилегирован достъп за управление на домейна не е активирана..
За да го активирате, използвайте командата Активиране-ADOptionalFeature, като един от параметрите, които трябва да посочите името на домейна:
Активирай-ADOtionalFeature „Привилегирован функция за управление на достъпа“ -Scope ForestOrConfigurationSet -Carget contoso.com
След активиране на PAM, използвайки специален аргумент MemberTimeToLive Можете да опитате да добавите потребителя в AD групата с командлета Add-ADGroupMember. Но първо, използвайки командлета New-времеви диапазон задайте интервала от време (TTL), за който на потребителя трябва да бъде предоставен достъп. Да предположим, че искаме да включим потребител test1 в групата на администратори на домейни за 5 минути:
$ ttl = New-TimeSpan -Minutes 5
Add-ADGroupMember -Identity "Домейн администратори" -Members test1 -MemberTimeToLive $ ttl
Използвайте командлета Get-ADGroup, за да проверите оставащото време, през което потребителят ще бъде в групата:Get-ADGroup 'Domain Admins' -Property member -ShowMemberTimeToLive
В резултатите от изпълнението на командата сред членовете на групата можете да видите формата на записа, което означава, че потребителският тест1 ще бъде в групата на администратори на домейн още 246 секунди. Тогава той автоматично ще бъде премахнат от групата. В същото време билетът на Kerberos на потребителя също е изтекъл. Това се дължи на факта, че за потребител с временно членство в групата AD, KDC издава билет с продължителност на живота, равен на по-малката от останалите стойности на TTL.
Преди това, за да внедрите временно членство в AD групите, трябваше да използвате динамични обекти, различни скриптове или сложни системи (FIM и т.н.). Сега в Windows Server 2016 тази удобна функция е достъпна извън кутията..