Временное членство в группах Active Directory | Windows для системных администраторов

Временное членство в группах Active Directory

В версии Active Directory, представленной в Windows Server 2016 появился ряд довольно интересных изменений. Сегодня мы рассмотрим возможность обеспечить временное членство пользователей в группах Active Directory. Этот функционал можно использовать, когда нужно предоставить пользователю на определенное время некие права, основанные на членстве в группе безопасности AD, а по истечению времени, автоматически (без привлечения администратора) этих прав его лишить.

Временное членство в группах AD (Temporary Group Membership) реализуется с помощью новой функции Windows Server 2016 под названием Privileged Access Management Feature. По аналогии с AD Recycle Bin после активации, отключить PAM нельзя.

Проверить, включен ли функционал PAM в текущем лесу, можно с помощью следующей команды  PowerShell:

Get-ADOptionalFeature -filter *

Get-ADOptionalFeatureНас интересует значение параметра EnableScopes, в этом примере оно пустое. Это значит, что функционал Privileged Access Management Feature для домена не включен.

Для его активации воспользуемся командой Enable-ADOptionalFeature, в качестве одного из параметров нужно указать имя домена:

Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target contoso.com

Enable-ADOptionalFeature 'Privileged Access Management Feature' После активации PAM, с помощью специального аргумента MemberTimeToLive командлета Add-ADGroupMember можно попробовать добавить пользователя в группу AD. Но сначала с помощью командлета New-TimeSpan зададим интервал времени (TTL), на который нужно предоставить доступ пользователю. Допустим, мы хотим включить пользователя test1 в группу администраторов домена на 5 минут:

$ttl = New-TimeSpan -Minutes 5
Add-ADGroupMember -Identity "Domain Admins" -Members test1 -MemberTimeToLive $ttl

Проверить оставшееся время, в течении которого пользователь будет состоять в группе поможет командлет Get-ADGroup:
Get-ADGroup ‘Domain Admins’ -Property member –ShowMemberTimeToLive

Add-ADGroupMembe r-MemberTimeToLiveВ результатах выполнения команды среди членов групп можно увидеть запись формата <TTL=246.CN=test1,CN=Users,DC=Contoso,DC=com>, это означает, что пользователь test1 будет состоять в группе Domain Admins еще в течении 246 секунд. После чего он автоматически будет удален из группы. При этом также просрочивается и тикет Kerberos пользователя. Это реализуется за счет того, что для пользователя с временным членством в группе AD, KDC выдает билет со сроком жизни равным меньшему из оставшихся значений TTL.

Ранее для реализации временного членства в группах AD приходилось использовать динамические объекты, различные скрипты или сложные системы (FIM и т.п.). Теперь, в Windows Server 2016 этот удобный функционал доступен из коробки.

Еще записи по теме: Active Directory, Windows Server 2016
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 5

Оставить комментарий
  1. Сергей | 21.10.2016

    «этот удобный функционал доступен из коробки»
    Удобный функционал?! Вы серьёзно? Много вы выдели администраторов систем на Windows которые бы добавляли пользователей в группу посредством PowerShell?
    Я не знаю, может это я тупой конечно. Но мне кажется не логичным, что для выполнения в общем-то повседневной задачи я должен держать в голове километровые строки команд на PS.
    Так же мне вообще кажется весьма странным, что всё больше и больше вещей можно сделать только посредством PS. Я не хочу сказать, что командная строка это плохо. Отнюдь. Но если винда всё больше приближается к UNIX/Linux системам, то возникает законный вопрос — зачем тогда вообще её использовать? Linux бесплатен, а винда, на минуточку, стоит не малых денег, особенно в серверном варианте. Даже реализация той же службы каталогов, AFAIK, есть под Linux.

    Ответить
    • Антон | 11.11.2016

      Администарторы Exchange уже с 2010 версии 80-90% своих повседневных задач выполняют через PowerShell. MS последовательно и неотвратимо убирает функции в ГУИ консоли.
      На самом деле на типовых операциях PS руки набиваются довольно быстро. Тут дело привычки, со временем понимаешь что через командную консоль все даже быстрее делается.

      Ответить
      • Сергей | 11.11.2016

        У меня вообще есть ощущение, что MS последовательно и неотвратимо копает себе яму.
        Обсуждение этого в разрезе данной статьи оффтоп конечно. Но всё же выскажусь почему я так считаю. Для очень многих домашних пользователей (а это сёрфинг, скайп, киношки и пару раз в месяц документ в текстовом редакторе) винда уже не нужна. Внезапно всё это есть в линуксе причём работает из коробки и бесплатно. Винда держится за счёт игроманов и инертности сознания. Плюс в СНГ за счёт того, что она тупо ворованная в большинстве случаев (т.е. за неё не надо платить). С игроманами ситуация может перемениться (консоли и Steam Machin/SteamOS от Valve). Инертность сознания тоже, как оказалось, ничего не значит. Ко мне человек пришел винду ну ноуте переставить. А я в порядке эксперимента предложил ему поставить Linux. Он спрашивает — а что это? Я говорю — типа как винда только не винда. Он — ?!?! Я — ты что на этом ноуте делаешь? Он — сёрфинг/скайп/киношки. Я — ну значит разницы ты и не заметишь особо. Поставил ему Xubuntu + Chromium + Skype. И всё. Отдал (причем еще и пароль рута забыл ему сказать), думал сейчас начнёт мне мозг клевать. Нет, не подошел ни разу. Я его через полгода спросил — как ноут? Он — да всё ок, всё работает, пользуюсь. Из чего я делаю вывод, что «обычному человеку» ему вообще все равно что у него там, лишь бы браузер запускался. И как выясняется головняка на линуксе даже меньше. Для меня для самого это шок был. Я не линуксоид ни разу. Линукс ставил второй раз в жизни на этот ноут.
        Это что касается домашних пользователей. Теперь бизнес. Большинству контор (не всем конечно) нужен тот же самый набор задач, что и домашнему пользователю + еще 1С. А теперь вспоминаем как в последние годы стрельнули облачные технологии. Лично я не считаю их прям таки панацеей но многим пофиг. И это гораздо дешевле. Тот же 1С уже есть облачный. Это означает, что многим конторам вообще уже не нужна своя ИТ инфраструктура, можно полностью уйти в облака и держать только парк тонких клиентов.
        Кто и зачем будет покупать у MS операционные системы в будущем?

        Ответить
        • itpro | 11.11.2016

          Про обычных пользователей согласен, причем скорее всего они будут сидеть уже не за компами/ноутбуками, а на телефоне или планшете. Первые как класс отмирают (см. статистку продаж за последние 2-3 года).

          По поводу корп. сектора: массового перехода в облака в РФ точно не будет, по крайней мере в среднем и крупном сегменте. Слишком сложно отдавать свои данные в третьи руки, к которым в любой момент могут придти люди в погонах и изъять файлы. Ну а тонкие клиенты — вполне себе могут иметь место.

          Ответить
          • Сергей | 11.11.2016

            Кстати да. Хотя многое удобнее делать на клаве с мышкой. Но это тоже дело привычки и инертность сознания. Я-то просто уже старый динозавр, работал за компами когда и мышь то у них не у всех была. А молодёжь вон тыкает в экранную клаву, которая пол экрана закрывает и их это ничуть не напрягает. И даже я за собой замечаю, что например сёрфить я стал больше на планшете/смартфоне. Как-то это удобнее оказалось делать лёжа кверху пузом чем сидя за столом ))) Так что всё верно — мобильные платформы грядут. И как раз на этом рынке MS _уже_ всё профукал. И похоже окончательно.
            Про облака в корпоративном секторе. Да, массового перехода не будет. Но я думаю не по причине людей в погонах, а просто из-за того, что не всё получается [пока] засунуть в облако.
            А люди с погонами это вообще тема отдельная. Опять же основанная в большей части на некомпетентности, заблуждениях и той же инертности сознания. Во-первых люди в погонах придут и тупо изымут сервера (это даже им будет проще). И внезапно оказывается, что у противников облаков и людей в погонах эта информация там хранится не зашифрованная. А то и вообще к ней доступ имеет кто ни поподя из внутренней сети, а большинство утечек происходит именно через инсайдеров, а не мифических хакеров. А даже если и зашифрована, то ключи шифрования знает админ. А админ человек наёмный и, как правило, не участвует в дележе доходов этого крупного бизнеса. И ему садиться, скрывая чужие преступления, смысла нет ну никакого (я свои работодателям это всегда объясняю прямо и заранее, что бы иллюзий не было). Во-вторых, кто поумнее, держит данные с облаках физически расположенных не в РФ. Там людям в погонах будет их получить посложнее.
            А вообще надо жить честно :)

            Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00123 sec