Gestion des accès privilégiés et Active Directory sous Windows 2016

Avec l’arrivée du Windows 2016, il est maintenant possible d’ajouter un membre à un groupe pour une durée bien déterminée.

Pour activer cette fonctionnalité, il faut que le niveau fonctionnel  de la forêt soit 2016 :

Une fois que le niveau fonctionnel de la forêt est égal à 2016, on constate qu’une nouvelle fonctionnalité a été ajoutée avec la corbeille s’appelant : Privileged Access Management Feature :

Get-ADOptionalFeature -Filter *

L’activation de cette fonctionnalité permet d’ajouter temporairement des membres aux groupes.

Pour l’activer, il suffit de lancer la commande suivante:

Enable-ADOptionalFeature -Identity  "Priviliged Access Management Feature" –scope ForestOrConfigurationSet –Target "Lab.lan"

Pour vérifier l’activation, on lance la commande suivante:

Get-ADOptional –Filter *

et on vérifie que EnabledScope n’est pas vide dans les propriétés de Priviliged Access Management:

Une fois que la vérification de l’activation est terminée, on est capable d’ajouter un membre pour une durée bien déterminée.

Si, l’utilisateur appartient temporairement  à plusieurs groupes, la durée minimale définit la durée de vie maximale du ticket kerberos.

Dans l’exemple ci-dessous, on va vérifier la durée de vie du ticket kerberos avant et après  l’ajout d’un utilisateur LAB\test dans deux groupes  temporairement.

Dans la figure ci-dessous, on constate bien que la durée de vie du ticket kerberos est égale à 10 heures :

Maintenant, on va ajouter l’utilisateur LAB\test dans le groupe Domain Admins pour une durée de 30 minutes et dans le groupe Entreprises Admins pour une durée de 20 minutes:

Add-ADGroupMember -Identity "domain Admins" -Members "test" -MemberTimeToLive (New-TimeSpan -minutes 30)
Add-ADGroupMember -Identity "Entreprise Admins" -Members "test" -MemberTimeToLive (New-TimeSpan -minutes 20)

La commande ci-dessous permet d’affiche la liste des groupes de l’utilisateur LAB\test :

 whoami /groups

Pour supprimer les tickets kerberos dans le cache on lance la commande suivante:

klist purge

On exécute la commande ci-dessous pour afficher les nouveaux tickets kerberos TGT :

klist

La figure ci-dessous, montre bien que la durée de vie du ticket kerberos ne dépasse pas 20 minutes.

La commande ci-dessous permet d’afficher les membres temporaires d’un groupe:

Get-ADGroup "Domain Admins" -Properties member -ShowMemberTimeToLive

A propos de l'auteur

Metsys

Acteur incontournable des services du numérique, Metsys s’engage à satisfaire l’ambition de ses clients dans leurs projets de transformation digitale.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *