Gestion des accès privilégiés et Active Directory sous Windows 2016

Avec l’arrivée du Windows 2016, il est maintenant possible d’ajouter un membre à un groupe pour une durée bien déterminée.

Pour activer cette fonctionnalité, il faut que le niveau fonctionnel  de la forêt soit 2016 :

Une fois que le niveau fonctionnel de la forêt est égal à 2016, on constate qu’une nouvelle fonctionnalité a été ajoutée avec la corbeille s’appelant : Privileged Access Management Feature :

L’activation de cette fonctionnalité permet d’ajouter temporairement des membres aux groupes.

Pour l’activer, il suffit de lancer la commande suivante:

Pour vérifier l’activation, on lance la commande suivante:

et on vérifie que EnabledScope n’est pas vide dans les propriétés de Priviliged Access Management:

Une fois que la vérification de l’activation est terminée, on est capable d’ajouter un membre pour une durée bien déterminée.

Si, l’utilisateur appartient temporairement  à plusieurs groupes, la durée minimale définit la durée de vie maximale du ticket kerberos.

Dans l’exemple ci-dessous, on va vérifier la durée de vie du ticket kerberos avant et après  l’ajout d’un utilisateur LAB\test dans deux groupes  temporairement.

Dans la figure ci-dessous, on constate bien que la durée de vie du ticket kerberos est égale à 10 heures :

Maintenant, on va ajouter l’utilisateur LAB\test dans le groupe Domain Admins pour une durée de 30 minutes et dans le groupe Entreprises Admins pour une durée de 20 minutes:

La commande ci-dessous permet d’affiche la liste des groupes de l’utilisateur LAB\test :

Pour supprimer les tickets kerberos dans le cache on lance la commande suivante:

On exécute la commande ci-dessous pour afficher les nouveaux tickets kerberos TGT :

La figure ci-dessous, montre bien que la durée de vie du ticket kerberos ne dépasse pas 20 minutes.

La commande ci-dessous permet d’afficher les membres temporaires d’un groupe:

About the Author

Thameur BOURBITA

No Comments

Laisser un commentaire

This blog is kept spam free by WP-SpamFree.