注释
对于连接 Internet 的环境中的新部署,不建议使用 MIM PAM 提供的 PAM 方法。 MIM PAM 旨在用于自定义体系结构,适用于无法访问 Internet 的独立 AD 环境、法规要求进行此配置的环境,或在高影响独立环境中,例如脱机研究实验室、已断开连接的运营技术或监督控制和数据收集环境等。 MIM PAM 不同于 Microsoft Entra Privileged Identity Management (PIM)。 Microsoft Entra PIM 是一项服务,可用于管理、控制和监视对 Microsoft Entra ID、Azure 和其他 Microsoft Online Services(如 Microsoft 365 或 Microsoft Intune)中的资源的访问。 有关本地连接 Internet 的环境和混合环境的指南,请参阅 保护特权访问 以获取详细信息。
为跨林访问设置环境、安装和配置 Active Directory 和Microsoft标识管理器以及演示实时访问请求时,需要完成七个步骤。
这些步骤已布局,以便你可以从头开始构建测试环境。 如果要将 PAM 应用到现有环境,则可以对 CONTOSO 域使用自己的域控制器或用户帐户,而不是创建新的域控制器来匹配示例。
如果你没有希望作为要管理的域的现有域,请准备 CORPDC 服务器作为域控制器。
为单独的 WS 2016 域和林 PRIV 准备 PRIVDC 服务器作为域控制器。
准备 PRIV 林中的 PAMSRV 服务器,以保存 MIM 服务器软件。
在 PAMSRV 上安装 MIM 组件,并为特权访问管理做好准备。
在 CONTOSO 林成员工作站上安装 cmdlet。
在 PRIV 和 CONTOSO 林之间建立信任。
使可访问受保护资源的特权安全组和成员帐户为实时特许访问权限管理做好准备。
演示如何请求、接收和使用对受保护资源的提升特权访问权限。