随着Windows Server 2016的新功能，任何域管理员的另一个基本元素-Active Directory-已更新为一些非常重要和出色的功能。其中一个旨在提高环境保护能力，以防止外部和内部帐户受到威胁，称为特权访问管理（PAM）。此功能基于Just-Enough-Administration（JEA）的思想，这是一种安全技术，允许在PowerShell的帮助下委派管理权限。其理念是只授予一定时期的管理权。使用PAM，我们可以通过设置生存时间（TTL）值来设置组成员资格的时间限制。换句话说：您可以将用户添加到仅在有限时间内处于活动状态的组。当您需要将对广告环境的访问权授予第三方或帮助台人员（他们正在排除环境中的问题，但不需要永久性地提升权限）时，这种方法非常有用。而且只有限制他们进入的时间，而不是在清理完之后再进行人工清理，这是注定要被遗忘的。让我们深入研究一下程序。请注意，与Active Directory回收站一样，此功能在默认情况下不会启用，并且一旦启用，您就无法将其关闭。需求和如何启用要启用PAM，我们需要确保林功能级别为Windows Server 2016。您可以这样做：获取Active Directory林功能级别（获取ADForest）。ForestMode获取Active Directory域功能级别（获取ADDomain）.DomainMode获取Active Directory域后缀：获取ADDomain |选择对象DNSRoot | fl启用"特权访问管理功能"启用ADOptionalFeature"特权访问管理功能"-作用域ForestorConfiguration Set-Target系统承认实验室检查"特权访问管理功能"状态：Get ADOptionalFeature-filter{name-like"Privileged*"}如果我们尝试使用低于Windows Server 2016的林功能级别激活此功能，则会得到错误（请参见图1）。图1：错误的林功能级别时的错误消息 为了提高域和林的功能级别，我们可以使用以下几种工具：Active Directory域和信任(域名.msc)-我们可以从Windows Server 2000开始找到此工具Active Directory管理中心(dsac.exe文件)-我们可以从Windows Server 2008 R2开始找到此工具PowerShell（Active Directory模块）由于我们使用的是Windows Server 2016，我们将使用PowerShell来提高域和林功能级别。在本例中，DC的名称是S1，域是系统承认实验室. 将域功能级别提升到Windows Server 2016设置ADDomainMode-identity S1。系统承认实验室-域模式Windows2016将林功能级别提升到Windows Server 2016$Forest=获取ADForest设置ADForestMode-Identity$Forest-Server$森林.SchemaMaster-ForestMode Windows2016需要知道的有用信息：要启用PAM功能，只需将林功能级别提升到Windows Server 2016，而不需要将域功能级别提升到域功能级别。通常，Active Directory功能级别不能反转。例外情况是Windows Server 2008 R2，如果未启用回收站，则可以将林功能级别还原为2008级别。在2016年，这一行动将不可逆转。在提高像exchangeserver这样的应用程序的功能级别时，需要特别注意。每个版本的Exchange Server都需要特定的功能级别。临时组成员身份正在运行为了快速测试临时组成员资格，我们将创建一个组和一个用户，我们将通过设置TTL值将其添加到该组中。添加AD用户（在示例中，用户名为：Xavi）新ADUser-名称"Xavi"-UserPrincipalNameXavi@sysaccept.lab设置AD用户密码设置ADAccountPassword-标识"Xavi"添加AD全局组（在示例中，组名为：Temp MemberShip）新ADGroup-名称"Temp MemberShip"-groupscope Global启用AD用户启用ADAccount-标识"Xavi"将用户"Xavi"添加到"Temp MemberShip"中仅限2天$variable=新时间跨度-第2天添加ADGroupMember-Identity"Temp MemberShip"-成员Xavi-MemberTimeToLive$变量就这样！两天后，用户"Xavi"将不再是"Temp MemberShip"组的成员，不需要手动操作。可以使用以下命令检查用户组成员资格TTL值（请参见图2中的示例）：获取ADGroup"Temp MemberShip"-属性成员-ShowMemberTimeToLive图2：检查TTL值阅读更多：如何使用PowerShell和PowerShell cmdletVN:F[1.9.22_1171]请评价这篇文章对你的评价有多大帮助：0.0/5（0票）