Avec l’arrivée du Windows 2016, il est maintenant possible d’ajouter un membre à un groupe pour une durée bien déterminée.
Pour activer cette fonctionnalité, il faut que le niveau fonctionnel de la forêt soit 2016 :
Une fois que le niveau fonctionnel de la forêt est égal à 2016, on constate qu’une nouvelle fonctionnalité a été ajoutée avec la corbeille s’appelant : Privileged Access Management Feature :
Get-ADOptionalFeature -Filter *
L’activation de cette fonctionnalité permet d’ajouter temporairement des membres aux groupes.
Pour l’activer, il suffit de lancer la commande suivante :
Enable-ADOptionalFeature -Identity "Priviliged Access Management Feature" –scope ForestOrConfigurationSet –Target "Lab.lan"
Pour vérifier l’activation, on lance la commande suivante :
Get-ADOptional –Filter *
et on vérifie que EnabledScope n’est pas vide dans les propriétés de Priviliged Access Management :
Une fois que la vérification de l’activation est terminée, on est capable d’ajouter un membre pour une durée bien déterminée.
Si, l’utilisateur appartient temporairement à plusieurs groupes, la durée minimale définit la durée de vie maximale du ticket kerberos.
Dans l’exemple ci-dessous, on va vérifier la durée de vie du ticket kerberos avant et après l’ajout d’un utilisateur LAB\test dans deux groupes temporairement.
Dans la figure ci-dessous, on constate bien que la durée de vie du ticket kerberos est égale à 10 heures :
Maintenant, on va ajouter l’utilisateur LAB\test dans le groupe Domain Admins pour une durée de 30 minutes et dans le groupe Entreprises Admins pour une durée de 20 minutes:
Add-ADGroupMember -Identity "domain Admins" -Members "test" -MemberTimeToLive (New-TimeSpan -minutes 30)
Add-ADGroupMember -Identity "Entreprise Admins" -Members "test" -MemberTimeToLive (New-TimeSpan -minutes 20)
La commande ci-dessous permet d’affiche la liste des groupes de l’utilisateur LAB\test :
whoami /groups
Pour supprimer les tickets kerberos dans le cache on lance la commande suivante :
klist purge
On exécute la commande ci-dessous pour afficher les nouveaux tickets kerberos TGT :
klist
La figure ci-dessous, montre bien que la durée de vie du ticket kerberos ne dépasse pas 20 minutes.
La commande ci-dessous permet d’afficher les membres temporaires d’un groupe :
Get-ADGroup "Domain Admins" -Properties member -ShowMemberTimeToLive