Membresía de grupos temporal en Windows server 2016

Buenas

Hoy me gustaría hablar de una nueva funcionalidad de Windows Server 2016 la cual nos permite definir membresía de grupos de manera temporal. Esta funcionalidad se enmarca dentro del Marco de JTA (just on time Access) que tanto persiguen los departamentos de seguridad y es especialmente útil a la hora de definir permisos a trabajadores que necesitan ser miembros de ciertos grupos de manera temporal para realizar un trabajo Puntual.

Igualmente me gustaría remarcar que esta funcionalidad también es aplicable a los grupos de administración o cualquier otro grupo de Directorio Activo y por lo tanto ideal para proporcionar permisos de administración para auditorias y similares.

Una vez hecha breve introducción teórica me gustaría me gustaría continuar detallando los requisitos para implementar la misma que son:
– Windows Server 2016 tp4 o superior
– Nivel funcional de forest window server 2016 (en este momento en technical preview y no recomendable en Producción hasta la liberación de la versión final

Seguidamente una vez identificados los requisitos me gustaría explicar de manera práctica como activar y usar esta funcionalidad.

1– Habilitamos la funcionalidad “Privileged Access Management Feature” mediante Powershell. De una manera similar a la papelera de reciclaje de Directorio Activo esta funcionalidad debe ser activada para poder ser usada, para ello ejecutre el siguiente comando.
Enable-ADOptionalFeature ‘Privileged Access Management Feature’ -Scope ForestOrConfigurationSet -Target test.int

2– Una vez habilitada la funcionalidad mediante powershell podemos definer membresía de manera temporal. En el comando del ejemplo estoy añadiendo la cuenta de usuario secoperator durante dos días al grupo domain admins.
Add-ADGroupMember -Identity ‘Domain Admins’ -Members ‘secoperator’ -MemberTimeToLive (New-TimeSpan -Days 2)

3– Por ultimo comentar que podemos ejecutar el siguiente comando para comprobar los usuarios con membresía temporal en un grupo
Get-ADGroup ‘Domain Admins’ -Property member –ShowMemberTimeToLive

Espero que resulte de utilidad

Un saludo

También te podría gustar...