Après le déploiement d'AD PAM dans votre environnement, il est possible d'activer l'élévation Just-in-Time et le provisionnement pour octroyer un accès temporaire privilégié à la demande.
Ajouter la permission de créer des groupes d'utilisateurs à votre compte de fournisseur de domaine PAM dans AD.
Identifier les groupes d'utilisateurs dans AD que vous souhaitez rendre disponibles pour l'élévation Juste-à-Temps.
Modifier votre fournisseur de domaine PAM.
Sélectionner la section élévation de privilèges JAT dans le menu de gauche.
Sélectionner le groupe d'utilisateurs identifié précédemment.
Si vous souhaitez limiter l'accès JAT à des comptes spécifiques, cliquer sur Activer les ensembles de privilèges.
Ajouter un préfixe au nom du groupe, tel que DVLS-JIT-.
Sélectionner un emplacement pour les groupes temporaires à créer.
Si vous avez plusieurs contrôleurs de domaine, configurer une latence de réplication pour vous assurer que la connexion JAT dispose de suffisamment de temps pour se répliquer entre tous les DCs.
Enregistrer.
Ajouter la permission de créer et supprimer des utilisateurs à votre compte de fournisseur de domaine PAM dans AD.
Modifier votre fournisseur de domaine PAM.
Ouvrir l'onglet élévation de privilèges JAT.
Sélectionner le groupe d'utilisateurs identifié précédemment.
Sélectionner un emplacement pour les utilisateurs temporaires à créer.
Si vous avez plusieurs contrôleurs de domaine (DCs), configurer la latence de réplication pour donner aux changements JAT suffisamment de temps pour se répliquer à travers tous les DCs.
Cliquer sur Enregistrer.
Dans votre PAM coffre, ajouter un nouvel utilisateur de domaine.
Entrer le nom d'utilisateur pour le compte.
Cocher la case compte Juste-à-Temps (JAT).
Cliquer sur Enregistrer.
Donnez-nous vos commentaires