A menudo, algunos derechos de acceso en Active Directory deben otorgarse temporalmente, durante un período de tiempo determinado. Para evitar la necesidad de monitorear la vigencia de las autorizaciones emitidas, pueden crearse inicialmente de manera temporal.
Para crear permisos temporales en AD existen mecanismos especiales — Membresía de grupo temporal — que se tratará en este post.
Membresía de grupo temporal de Active Directory
Membresía de grupo temporal es una característica nueva que apareció en Windows Server 2016 y es parte del Gestión de acceso privilegiado (PAM) funcionalidad.
De forma predeterminada, PAM no está activo y lo primero que debe hacer es activarlo. Puede hacer esto con el cmdlet de PowerShell Habilitar-ADOptionalFeature. Por ejemplo, para habilitar PAM en el dominio contoso.comejecute el siguiente comando con privilegios de administrador de dominio:
Enable-ADOptionalFeature -Identity ″Privileged Access Management Feature″ -Scope ForestOrConfigurationSet -Target ″contoso.com″
Tenga en cuenta que la activación de PAM es una operación irreversible, no puede desactivarla después de la ejecución del comando anterior. Puedes comprobar el resultado con el comando:
Get-ADOptionalFeature -Filter {Name -like ″Privileged*″}
Compruebe que su nombre de dominio aparece en el parámetro Ámbito habilitado. Esto confirma que la administración de acceso privilegiado está habilitada para este dominio.
Después de habilitar PAM, el MemberTimeToLive aparece el parámetro Add-ADGroupMember en el cmdlet Add-ADGroupMember, con el que puede establecer el tiempo de pertenencia en el grupo. Por ejemplo, agregue el usuario de JSilver al grupo de administradores de dominio durante 5 minutos:
$TTL = New-TimeSpan -Minutes 5 Add-ADGroupMember -Identity ″Domain Admins″ -Members JSilver -MemberTimeToLive $TTL
Luego puede verificar la membresía del grupo con el comando:
Get-ADGroup -Identity ″Domain Admins″ -Properties Member -ShowMemberTimeToLive
Como puede ver, JSilver es miembro del grupo de administradores de dominio y su TTL es de 278 segundos. Después de este tiempo, puede verificar la membresía del grupo nuevamente y asegurarse de que se haya eliminado del grupo.
Nota. Al final del TTL, el período de validez del ticket de Kerberos del usuario también caduca, porque para los usuarios con membresía temporal en grupos de AD, se emite un ticket con una vida útil igual al menor de los valores TTL restantes.
La pertenencia a un grupo temporal requiere un controlador de dominio de Windows Server 2016 y también requiere un nivel de bosque de al menos Windows Server 2016. Puede obtener el nivel funcional de bosque y dominio de Active Directory mediante los siguientes comandos:
(Get-ADForest).ForestMode (Get-ADDomain).DomainMode
Para implementar la membresía temporal en los grupos en versiones anteriores de Windows Server, puede usar la funcionalidad menos conveniente de objetos dinámicos (El soporte para objetos dinámicos apareció desde Windows Server 2003).
Puede crear un objeto dinámico usando PowerShell. Por ejemplo, puede crear un grupo temporal de AD TempGroup con un valor TTL de 600 segundos de esta manera:
$OU = [adsi]″LDAP://CN=users,DC=contoso,DC=com″ $Grp = $OU.Create(″group″,″cn=TempGroup″) $Grp.PutEx(2,″objectClass″,@(″dynamicObject″,″group″)) $Grp.Put(″entryTTL″,″600″) $Grp.SetInfo()
Como resultado, se creará un Group TempGroup en el contenedor Groups con una duración de 10 minutos (600 segundos). El tiempo de vida del grupo se almacena en la entrada de atributo TTL y, si es necesario, se puede cambiar, por ejemplo, aumentar o disminuir. Después del tiempo establecido, el grupo desaparece automáticamente.
Recomendado para ti
