Active Directoryの時間ベースの（一時的な）グループメンバーシップ

Windows Server2016のActiveDirectoryのバージョンには、ADセキュリティグループにユーザーを一時的に追加できる興味深い機能が導入されています。この機能は、一時的なグループメンバーシップ（時間ベース）と呼ばれます。 。この機能は、ADセキュリティグループのメンバーシップに基づいてユーザーに一時的に権限を付与する必要がある場合に使用できます。指定された時間が経過すると、ユーザーはセキュリティグループから自動的に削除されます（管理者の介入なし）。

一時グループメンバーシップを使用するには、特権アクセス管理機能を有効にする必要があります。 ActiveDirectoryフォレスト内。 ADごみ箱（削除されたオブジェクトを復元できる）と同様に、PAMを有効にした後で無効にすることはできません。

ADフォレストがWindowsServer2016フォレスト機能レベル（またはそれ以上）で実行されていることを確認してください：

(Get-ADForest).ForestMode

AD PowerShellモジュールのコマンドを使用して、現在のフォレストで特権アクセス管理機能が有効になっているかどうかを確認します。

Get-ADOptionalFeature -filter "name -eq 'privileged access management feature'"

EnableScopesの値が必要です パラメータ。この例では空です。これは、特権アクセス管理機能がこのフォレストで有効になっていないことを意味します。

有効にするには、 Enable-ADOptionalFeatureを使用します コマンドを実行し、引数の1つとしてフォレスト名を指定します。

Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target contoso.com

エラー「Enable-ADOptionalFeature: The SMO role ownership could not be verified because its directory partition has not replicated successfully with at least one replication partner」の場合 コマンドを実行すると「」が表示され、ドメインコントローラーとADレプリケーションのステータス、およびFSMOロール所有者の可用性を確認します。 ADレプリケーションを手動で強制します。

コマンドGet-ADOptionalFeature -filter "name -eq 'privileged access management feature'" | select EnabledScopesを選択します EnableScopesフィールドが空でないことを確認します。

ユーザーをADグループに一時的に追加するには、PowerShellコマンドレットを使用する必要があります。 ADUCグラフィカルスナップイン（dsa.mscからセキュリティグループに一時的に追加する ）はサポートされていません。

PAMを有効にした後、特別な引数 MemberTimeToLive を使用して、ADグループにユーザーを追加することができます。 Add-ADGroupMemberコマンドレットの。 New-TimeSpan を使用して時間間隔（TTL）を設定すると便利です。 コマンドレット。ユーザーtest1を追加するとします。 ドメイン管理者へ 15分間のグループ化：

$ttl = New-TimeSpan -Minutes 5
Add-ADGroupMember -Identity "Domain Admins" -Members test1 -MemberTimeToLive $ttl

一時的なグループメンバーシップを使用して、特権ドメイングループ（エンタープライズ管理者、ドメイン管理者など）への一時的なアクセスを提供することはお勧めしません。通常、一時グループメンバーシップは、リソースグループへのアクセスを許可するために使用されます。管理者権限を付与するには、ActiveDirectory委任またはPowerShellJust Enough Administration（JEA）を使用する必要があります。

Get-ADGroupコマンドレットを使用して、ユーザーがグループメンバーになる時間を確認できます。
Get-ADGroup 'Domain Admins' -Property member –ShowMemberTimeToLive

コマンドの結果には、<TTL=187,CN=test1,CN=Users,DC=woshub,DC=loc> グループメンバーのために。 TTL値は秒単位で表示されます。これは、このユーザーが一時的にDomainAdminsグループに追加されたことを意味します。 187秒後、彼は自動的にグループから削除されます

ユーザーKerberosチケットも期限切れになります。これは、KDCがADグループの一時的なメンバーシップを持つユーザーのTTL値の最小値に等しいライフタイムでチケットを発行するという事実のために実装されています。

次のKerberosチケットの更新時刻は、次のコマンドで確認できます。

klist

TGTチケットの次回の更新時刻は、更新時刻に表示されます。 パラメータ。

以前、ログオフせずにklistを使用してADグループメンバーシップを更新する方法を示しました。

オンプレミスのActiveDirectoryからAzureADConnectを介してAzureADにグループ同期するハイブリッドシナリオを使用する場合は注意が必要です。この構成では、クラウド同期間隔の設定を考慮に入れる必要があります。

また、AD（Windows2003Foresフォレストの機能レベル以降）では、一時的なADグループを作成できます。このようなグループの場合、 dynamicObject クラスが使用されます。このようなグループの自動削除は、ActiveDirectoryのガベージコレクションプロセスによって実行されます。

たとえば、1か月後に自動的に削除される一時的なグループを作成するには（2592000 = 31 * 24 * 60 * 60 ）、次のPowerShellスクリプトを使用します：

$OU = [adsi]"LDAP://OU=Groups,OU=Munich,OU=DE,DC=woshub,DC=loc"
$Group = $OU.Create("group","cn=MUN-FS01_Public_tmp")
$Group.PutEx(2,"objectClass",@("dynamicObject","group"))
$Group.Put("entryTTL","2678400")
$Group.SetInfo()

ADUCコンソールでグループ属性を開きます。 entryTTLに注意してください 属性。このADグループが何秒で削除されるかを示します。

以前は、一時的なADグループメンバーシップを実装するには、動的オブジェクト、さまざまなスクリプトとスケジュールされたタスク、または非常に複雑なシステム（Microsoft Forefront Identity Managerなど）を使用する必要がありました。現在、Windows Server 2016/2019では、この便利な機能をすぐに使用できます。