Privileged Access Management Feature

Alors que la sortie de la version de Windows Server 2016 devrait bientôt être annoncée, nous allons dans cet article présenté une des nouveautés d'Active Directory. Cette nouvelle fonctionnalité permet d'ajouter un membre dans un groupe pour une durée déterminée. Comme pour la corbeille Active Directory, il s'agit d'une option qui n'est pas activée par défaut.

En ce qui concerne les prérequis il faudra augmenter le niveau fonctionnel de la forêt à Windows 2016. Pour le moment il s'agit du niveau « Windows Server Technical Preview » en attendant la sortie officielle du produit.

Pour notre exemple nous avons utilisé une forêt avec un domaine unique et contenant un seul contrôleur de domaine « w2016tp5dc » en Windows Server 2016 Technical Preview 5.

Comme il n'y a pas de contrôleur de domaine avec une version antérieure, il est possible d'élever le niveau fonctionnel du domaine et de la forêt. Sur d'autres articles j'avais montré comment augmenter le niveau depuis les consoles classiques et avec PowerShell. Pour cet exemple nous allons utiliser le « centre d'administration d'Active Directory ».

Dans le centre d'administration si vous sélectionnez votre domaine à gauche, vous verrez à droite dans le menu « tâches » les options « augmenter le niveau fonctionnel de la forêt » et « du domaine » :

Il suffit de cliquer dessus et de sélectionner le nouveau niveau dans le menu, puis de valider par OK :

 

Maintenant que nous avons augmenté le niveau de la forêt, nous allons en PowerShell lister les fonctionnalités présentes :

Get-adOptionalFeature –filter * 

Dans l'image ci-dessous, vous constatez que la corbeille Active Directory est bien activée et le champ « EnableScopes » est renseigné. Pour la fonctionnalité « Privileged Access Management Feature », il n'y a pas de valeur dans « EnableScopes »

Pour activer, cette nouvelle fonctionnalité nous allons exécuter la commande PowerShell suivante :

Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target labo16.lan

Un avertissement nous prévient que l'opération est irréversible, il nous faut confirmer par « o ».

Après confirmation nous constatons que la valeur « EnableScopes » est maintenant renseignée :

Pour l'exemple nous allons créer un nouvel utilisateur « test » depuis la console « utilisateurs et ordinateurs Active Directory ». Cet utilisateur ne sera membre que du groupe utilisateur du domaine.

 

 

En PowerShell, nous allons ajouter l'utilisateur test comme membre du groupe « admins du domaine » pour une durée de 1 minute.

Add-ADGroupMember -Identity 'Admins du domaine' -Members 'test' -MemberTimeToLive (New-TimeSpan -Minutes 1)

 

En ouvrant la fiche de l'utilisateur dans la console « utilisateurs et ordinateurs Active Directory », nous pouvons constater que l'utilisateur est bien membre du groupe « admins du domaine » :

 

En PowerShell nous allons interroger le groupe « Admins du domaine » pour en voir les membres et avec l'option « –showMemberTimeToLive » pour connaître la durée.

Get-ADGroup 'Admins du domaine' -Property member –ShowMemberTimeToLive

L'image ci-dessous nous permet de voir que l'utilisateur test est membre du groupe pour une durée de 38 secondes encore :

Après un peu de patience, nous pouvons constater qu'une fois le « TTL » expiré l'utilisateur ne fait plus partie du groupe :

Ce que nous pouvons confirmer dans la fiche de l'utilisateur dans la console de « Utilisateurs et Ordinateurs Active Directory ».

 

Pour finir, vous trouverez dans ce lien un résumé sur les nouveautés concernant Active Directory pour la version 2016.

 

Tags: 

Theme: 

Systeme: 

Annee: