企业身份与系统管理：PAM、LAPS及WSUS全解析

# 企业身份与系统管理：PAM、LAPS 及 WSUS 全解析 在企业的 IT 环境中，身份管理、本地管理员密码管理以及系统更新管理是至关重要的环节。本文将详细介绍特权访问管理（PAM）、本地管理员密码解决方案（LAPS）以及 Windows Server Update Services（WSUS）的相关内容，包括其特点、配置步骤和实际应用。 ## 1. 特权访问管理（PAM） ### 1.1 PAM 组件 PAM 由多个组件组成，每个组件都有其特定的功能： - **MIM Portal**：这是一个 SharePoint 网站，提供管理和配置功能。IT 运维人员可以登录该网站请求权限。 - **MIM Service Database**：可以托管在 SQL Server 2012、2014 或 2016 上，存储 MIM 服务使用的配置和身份信息。 - **PAM Component Service**：管理角色过期流程，从管理林的影子组中移除影子账户。 - **PAM Monitoring Service**：监控生产林，并将更改复制到管理林或 MIM 服务。 - **PAM REST API**：可用于使自定义客户端与 PAM 进行交互。 ### 1.2 PAM 用户和组 在安装 Microsoft Identity Manager 时，可以使用相应的 cmdlet 创建影子用户和影子组： - **创建影子用户**：使用 `New - PAMUser` cmdlet。例如，要基于 Adatum.com 域中的 Oksana 账户创建一个新的影子用户，可以使用以下命令： ```powershell New - PAMUser –SourceDomain adatum.com –SourceAccountName Oksana ``` - **创建影子组**：使用 `New - PAMGroup` cmdlet。例如，要为 Adatum.com 域中的 CorpAdmins 组创建一个新的影子组，并使用 mel - dc1.adatum.com 域控制器，可以使用以下命令： ```powershell New - PAMGroup –SourceGroupName "CorpAdmins" –SourceDomain adatum.com –SourceDC mel - dc1.adatum.com ``` ### 1.3 PAM 角色 PAM 角色代表要请求的特权角色。可以在 MIM 网页界面中查看 PAM 角色的属性来配置其设置，一个 PAM 角色包含以下选项： | 选项 | 描述 | | ---- | ---- | | 显示名称 | PAM 角色的名称 | | PAM 特权 | 用户被授予该角色时临时添加到的安全组列表，但不列出实际分配给该组的特权，显示的是影子主体的名称而非原始域中的组 | | PAM Tole TTL(sec) | 成员被授予该角色的最长时间，默认值为 3600 秒（1 小时），应根据此值配置 Kerberos 用户票据的最大生命周期 | | MFA 启用 | 可将 MIM 的 PAM 功能与 Azure 多因素身份验证集成，启用后请求 PAM 角色需要两种形式的身份验证 | | 批准要求 | 可以配置为只有在 PAM 管理员批准请求后才授予 PAM 角色成员资格，通过在 MIM 网页控制台的管理策略规则下的 Sets 部分添加用户到 PAM Admins 集来配置管理员 | | 可用性窗口启用 | 配置角色的可用性窗口后，PAM 角色只能在特定时间使用，提供额外的安全层 | | 描述 | 用于提供 PAM 角色的描述信息 | ### 1.4 PAM 与 JEA 的结合 JEA（Just Enough Administration）基于安全组成员身份限制谁可以访问 JEA 端点，而 PAM 是将用户账户临时添加到安全组。可以将 PAM 与 JEA 结合使用，允许用户在有限的时间内连接到 JEA 端点，并且只有在明确请求访问特定 JEA 端点后才能这样做。 ```mermaid graph LR classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px; classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A([开始]):::startend --> B(创建影子用户) ```