Active Directory time based Memberships
Wie bereits unter Server 2012 R2 mit DynamicObjects temporäre Berechtigungen vergeben werden konnten, mittels einer Mitgliedschaft in einer AD Gruppe auf Zeit, kann man auch unter Server 2016 und dem neuen Privileged Access Management Feature, zeitlich begrenzte Berechtigungen vergeben.
Die einzige Voraussetzung ist, dass die Gesamtstrukturfunktionsebene auf Windows Server 2016 laufen muss!
Server 2016 – Privileged Access Management Berechtigung auf Zeit
Wie funktioniert das Ganze?
Benutzer verbleiben für eine definierte Zeit Member einer AD Gruppe bis sie automatisch entfernt werden. Dabei spielt es keine Rolle ob es sich um eine Sicherheitsgruppe oder Verteilergruppe handelt.
Das Thema Privileged Access Management darf nicht mit dem Thema Identity Management verwechselt werden, auch wenn es hier thematische Überschneidungen gibt.
Wer das Ganze testen möchte und sich dafür ein Lab aufbauen möchte, der kann das ganz bequem per Powershell durchführen.
$ForestRootDomain = ‘dwp.local’
Enable-ADOptionalFeature ‘Privileged Access Management Feature’ `
-Scope ForestOrConfigurationSet -Target $ForestRootDomain
Get-ADOptionalFeature -Filter * | Select-Object Name,EnabledScopes
Add-ADGroupMember -Identity ‘Einkauf’ `
-Members ‘j.walter’ `
-MemberTimeToLive (New-TimeSpan -Minutes 15) -Verbose
Get-ADGroup Einkauf -Properties Member -ShowMemberTimeToLive |
Select-Object -ExpandProperty Member
Download Anleitung