Windows Server 2016中Active Directory的版本进行了许多有趣的更改。今天,我们将考虑为用户提供Active Directory组中临时成员资格的机会。需要在一定时间段内根据用户在AD安全组中的成员身份授予特定特权,并在此时间段内自动(无需管理员)删除这些权限时,可以使用此功能。临时组成员身份是使用称为特权访问管理功能的 Windows Server 2016新功能实现的。与AD回收站一样,您不能在激活PAM后禁用它。

        以前,要实现临时的AD组成员身份,您必须使用动态对象,不同的脚本或相当复杂的系统(Microsoft Forefront Identity Manager等)。现在,在Windows Server 2016中,此便利功能可立即使用。

        您可以使用以下PowerShell命令查看当前林中是否启用了PAM:

    Get-ADOptionalFeature -Filter *

        如下图 我们需要EnableScopes参数的值。在我们的示例中为空。这意味着未为此域启用特权访问管理功能。

        如何开启Window Server 2016 特权访问功能(PAM)_第1张图片

        激活它,请使用Enable-ADOptionalFeature命令,并将您的域名指定为参数之一:

    Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target contoso.com

        如何开启Window Server 2016 特权访问功能(PAM)_第2张图片

        PAM已被激活之后,你可以尝试将用户添加到使用特殊参数的AD组。但是首先,使用New-TimeSpan cmdlet指定时间段(TTL),在该时间段内用户将具有访问权限。假设我们想将用户 XX 加入 在Domain Admins组中5分钟:

    $ttl = New-TimeSpan -Minutes 5
    Add-ADGroupMember -Identity "Domain Admins" -Members gaowang -MemberTimeToLive $ttl

        你可以使用Get-ADGroup 检查用户成为组成员的时间:

    Get-ADGroup "Domain Admins" -Property member -ShowMemberTimeToLive

        如何开启Window Server 2016 特权访问功能(PAM)_第3张图片

在命令结果中,您可以看到类似于{,CN=高望,CN=Users,DC=Contoso,DC=com, CN=Administrator,CN=Users,DC=Contoso,DC=com}的组成员条目,这意味着用户 gaowang 将成为Domain Admins的成员。组234秒。之后他将自动从该组中删除