Windows Server 2016: Temporäre Mitgliedschaft in administrativen Gruppen konfigurieren

Das PAM-Feature kann aber auch ohne die komplexe Infrastruktur aus Shadow Principal, Microsoft Identity Manager (MIM) und dedizierten Forest zum Einsatz kommen. Damit lassen sich Benutzer für eine begrenzte Zeit als Mitglieder in eine privilegierte Gruppe wie die der Domänen-Admins aufnehmen. Sie verlieren dann nach Ablauf des eingestellten Zeitfensters (hier: TTL, Time-to-Live) ihren Status wieder.

Als Resultat erhält man eine nicht permanente Zugehörigkeit von Benutzern zu administrativen Gruppen und eine erhöhte Netzwerk­sicherheit, weil bei Missbrauch derartiger Credentials der Handlungs­spielraum zumindest zeitlich eingeschränkt bleibt und verfällt.

Aktivierung von PAM

Wie bereits erwähnt, wird ein Forest Functional Level (FFL oder Gesamt­struktur­funktions­ebene) gleich Windows Server 2016 für die Aktivierung des PAM-Features vorausgesetzt.

Eine Verifizierung dieser Bedingung erfolgt mit

(Get-ADForest).ForestMode

an einem Domänencontroller oder beispielsweise über die GUI des AD-Verwaltungscenter.

Ist eine Heraufstufung nötig, kann diese auch mit Hilfe von Active Directory-Domänen und -Vertrauensstellungen (domain.msc) oder dem AD-Verwaltungscenter erfolgen.

Bevor wir nun das Feature aktivieren, frage ich nach der Verfügbarkeit und einer eventuell bereits erfolgten Aktivierung. Ein

Get-ADOptionalFeature -Filter *

liefert uns hier entsprechende Ergebnisse zu den optionalen AD-Features und man erkennt anhand von EnabledScopes, ob es aktiviert wurde. Der LDAP-Scope fehlt in den geschweiften Klammern.

Aktivieren lässt sich PAM dann mit einem Aufruf nach diesem Muster:

Enable-ADOptionalFeature "Privileged Access Management Feature" `
  -Scope ForestConfigurationSet -Target domain.lab

Der Vorgang ist nicht reversibel. Das bedeutet, einmal aktiviert, lässt sich das PAM-Feature nicht mehr abschalten.

Time-to-live definieren und Benutzer zu Gruppe hinzufügen

Bevor wir jetzt unseren Benutzer Byrann Zweig temporär für einen Tag Mitglied der Domänen-Admins werden lassen, definiere ich den TTL mit

$ttl = New-TimeSpan -Days 1

und frage den Benutzer über seinen Distinguished Name (DN) ab:

$user = GetADUser "CN=Zweig\, Byrann,OU=ClusterSupport,DC=KUEPPERS-PAM,DC=lab" -Server "AD16-NODE-1"

Da der Benutzername im AD durch ein Komma getrennt ist (Zweig, Byrann), maskiert man es an dieser Stelle mit einem Backslash. Als nächstes halte ich die zukünftige Gruppe ebenfalls in einer Variablen fest

$group = Get-ADGroup "CN=Domänen-Admins,CN=Users,DC=KUEPPERS-PAM,DC=LAB" -Server "AD16-NODE-1"

Abschließend werden alle Daten in folgendem Kommando verarbeitet

Add-ADGroupMember -Identity $group -Members $user -MemberTimeToLive $ttl

Der Benutzer wird demnach privilegiertes Mitglied der vordefinierten Gruppe Domänen-Admins, jedoch nur für einen Tag, erkennbar am TimeSpan -Days 1. Anstelle von Days können hier auch Minutes bzw. Hours oder mit End ein Datum definiert werden. Auch die Verifizierung der Mitgliedschaft auf einem Client unter Windows 10 mit whoami /groups spiegelt eine Membership in den AD-Gruppen wider.

Abfrage nach der Restzeit in einer privilegierten Gruppe

Ob ein Benutzer Mitglied der Domänen-Admins ist, lässt sich leicht herausfinden. Ein Blick auf die GUI sollte die Mitgliedschaften des Benutzers "Zweig" in der Gruppe der Domänen-Admins bestätigen.

Ob es sich um ein temporäres Mitglied handelt und wie lange es in dieser Gruppe noch verbleibt, gibt die grafische Oberfläche nicht zu erkennen. PowerShell jedoch offenbart hier die nötigen Informationen mit:

Get-ADGroup "Domänen-Admins" -Properties Member -ShowMemberTimeToLive

Der TTL-Wert wird anschließend in Sekunden ausgegeben, hier 85.748, also 1429 Minuten (über 23,5 Stunden). Innerhalb dieses Zeitfensters ist Byrann Zweig ein Domänen-Administrator und darf seinen Aufgaben im Scope nachkommen. Mit Ablauf der Restzeit erlischt seine Mitgliedschaft unmittelbar, das Kerberos TGT (Ticket Granting Ticket) wird zurückgesetzt.