Metsys Blog

Gestion des accès privilégiés et Active Directory sous Windows 2016

Nous contacter
Retour

Auteur de l'article

Metsys

Metsys

Partager l'article

  • Cloud & Infrastructure Services
Cliquez pour évaluer cet article !
0 avis

Thème sombre/clair

Catégories

Rechercher

Nous suivre

RETEX CERT

Metsys 8 mars 2024

Tout d’abord, en termes d’éthique et pour respecter la confidentialité des sujets aussi sensibles que

Avec l’arrivée du Windows 2016, il est maintenant possible d’ajouter un membre à un groupe pour une durée bien déterminée.

Pour activer cette fonctionnalité, il faut que le niveau fonctionnel  de la forêt soit 2016 :

Une fois que le niveau fonctionnel de la forêt est égal à 2016, on constate qu’une nouvelle fonctionnalité a été ajoutée avec la corbeille s’appelant : Privileged Access Management Feature :

Get-ADOptionalFeature -Filter *

L’activation de cette fonctionnalité permet d’ajouter temporairement des membres aux groupes.

Pour l’activer, il suffit de lancer la commande suivante :

Enable-ADOptionalFeature -Identity  "Priviliged Access Management Feature" –scope ForestOrConfigurationSet –Target "Lab.lan"

Pour vérifier l’activation, on lance la commande suivante :

Get-ADOptional –Filter *

et on vérifie que EnabledScope n’est pas vide dans les propriétés de Priviliged Access Management :

Une fois que la vérification de l’activation est terminée, on est capable d’ajouter un membre pour une durée bien déterminée.

Si, l’utilisateur appartient temporairement  à plusieurs groupes, la durée minimale définit la durée de vie maximale du ticket kerberos.

Dans l’exemple ci-dessous, on va vérifier la durée de vie du ticket kerberos avant et après  l’ajout d’un utilisateur LAB\test dans deux groupes  temporairement.

Dans la figure ci-dessous, on constate bien que la durée de vie du ticket kerberos est égale à 10 heures :

Maintenant, on va ajouter l’utilisateur LAB\test dans le groupe Domain Admins pour une durée de 30 minutes et dans le groupe Entreprises Admins pour une durée de 20 minutes:

Add-ADGroupMember -Identity "domain Admins" -Members "test" -MemberTimeToLive (New-TimeSpan -minutes 30)
Add-ADGroupMember -Identity "Entreprise Admins" -Members "test" -MemberTimeToLive (New-TimeSpan -minutes 20)

La commande ci-dessous permet d’affiche la liste des groupes de l’utilisateur LAB\test :

 whoami /groups

Pour supprimer les tickets kerberos dans le cache on lance la commande suivante :

klist purge

On exécute la commande ci-dessous pour afficher les nouveaux tickets kerberos TGT :

klist

La figure ci-dessous, montre bien que la durée de vie du ticket kerberos ne dépasse pas 20 minutes.

La commande ci-dessous permet d’afficher les membres temporaires d’un groupe :

Get-ADGroup "Domain Admins" -Properties member -ShowMemberTimeToLive

Un article signé

Metsys

Metsys

Partager l'article

Notez cet article

Vous avez aimé cet article ?

Rendez-le plus visible auprès des internautes en lui mettant une bonne note.

Cliquez pour évaluer cet article !
0 avis

Articles pouvant vous intéresser

RETEX CERT

Metsys 8 mars 2024

Tout d’abord, en termes d’éthique et pour respecter la confidentialité des sujets aussi sensibles que

© Copyright 2024 METSYS. Tous droits réservés.