Active Directory组中的临时成员身份
Windows Server 2015中的Active Directory版本具有许多有趣的更改。今天,我们将考虑有机会为用户提供Active Directory组中的临时成员身份。需要在特定时间段内根据用户在AD安全组中的成员身份授予特定特权,并在此时间段内自动(无管理员)删除这些权限时,可以使用此功能。
使用称为"特权访问管理功能"的新Windows Server 2015功能实现"临时组成员身份"。与AD回收站一样,我们不能在激活PAM后将其禁用。
我们可以使用以下PowerShell命令确保当前林中是否启用了PAM:
Get-ADOptionalFeature -filter *
我们需要EnableScopes参数的值。在我们的示例中为空。这意味着未为此域启用特权访问管理功能。
要激活它,请使用Enable-ADOptionalFeature
命令,并将域名指定为参数之一:
Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target contoso.com
激活PAM后,可以尝试使用Add-ADGroupMember cmdlet的特殊参数" MemberTimeToLive"将用户添加到AD组。但是首先,使用New-TimeSpan
cmdlet指定时间段(TTL),在该时间段内用户将具有访问权限。假设我们希望将用户test1包含在Domain Admins组中5分钟:
$ttl = New-TimeSpan -Minutes 5
Add-ADGroupMember -Identity "Domain Admins" -Members test1 -MemberTimeToLive $ttl
我们可以使用Get-ADGroup cmdlet检查用户成为组成员的时间:
Get-ADGroup ‘Domain Admins’ -Property member –ShowMemberTimeToLive
在命令结果中,我们可以看到类似于<TTL = 246.CN = test1,CN = Users,DC = Contoso,DC = com>的组成员条目,这意味着用户test1将成为Domain Admins的成员。组246秒。之后,他将自动从该组中删除。用户Kerberos票证也将过期。这是由于KDC为在AD组中具有临时成员资格的用户发行的票证的生存期等于TTL值的最小值而实现的。
以前,要实现临时的AD组成员身份,我们必须使用动态对象,不同的脚本或者相当复杂的系统(Microsoft Forefront Identity Manager等)。现在,在Windows Server 2015中,此便利功能是开箱即用的。