Верзија Ацтиве Дирецтори-а представљена у Виндовс Сервер 2016 увела је бројне прилично занимљиве промене. Данас ћемо размотрити могућност привременог чланства корисника у Ацтиве Дирецтори групама. Ова се функционалност може користити када требате доделити одређеним правима заснованим на чланству у безбедносној групи АД одређено време, а након истека времена, аутоматски (без укључивања администратора) да бисте га лишили ових права.
Привремено чланство у АД Групи (Привремени Групно Чланство) се имплементира помоћу нове функције Виндовс Сервер 2016 под називом Привилеговано Приступ Менаџмент Феатуре. Слично као АД кош за смеће након активирања, ПАМ не може бити онемогућен..
Да бисте проверили да ли је функција ПАМ омогућена у тренутној шуми, користите следећу наредбу ПоверСхелл:
Гет-АДОтионалФеатуре -филтер *
Занима нас вредност параметра Енаблесцопес, у овом примеру је празан. То значи да функционалност привилеговане функције управљања приступом за домену није омогућена..
Да бисте је активирали, користите команду Омогући-АДОтионалФеатуре, као један од параметара требате навести име домене:
Омогући-АДОтионалФеатуре 'Привилегована функција управљања приступом' -Сцопе ФорестОрЦонфигуратионСет -Царгет цонтосо.цом
Након активирања ПАМ-а, користећи посебан аргумент МемберТимеТоЛиве Можете покушати да додате корисника у АД групу помоћу цмдлета Адд-АДГроупМембер. Али прво, користећи цмдлет Ново време подесите временски интервал (ТТЛ) за који кориснику мора бити одобрен приступ. Претпоставимо да желимо да укључимо кориснички тест1 у групу администратора домена на 5 минута:
$ ттл = Нев-ТимеСпан -Минуте 5
Адд-АДГроупМембер -Идентити "Администратор домена" -Мемберс тест1 -МемберТимеТоЛиве $ ттл
Користите цмдлет Гет-АДГроуп да проверите преостало време у коме ће корисник бити у групи:Гет-АДГроуп 'Администратор домена' -Програм власништва -СховМемберТимеТоЛиве
У резултатима извршења команде међу члановима групе можете видети запис формата, што значи да ће корисник тест1 бити у групи Админс још 246 секунди. Тада ће се аутоматски уклонити из групе. У исто време, Керберосова карта корисника такође истиче. То се остварује због чињенице да за корисника са привременим чланством у АД групи, КДЦ издаје карту са веком трајања једнаком мањој од преосталих ТТЛ вредности.
Раније, да бисте имплементирали привремено чланство у АД групама, морали сте користити динамичке објекте, разне скрипте или сложене системе (ФИМ итд.). Сада, у Виндовс Сервер 2016, ова погодна функција је доступна ван кутије..
