Salve galera! Tudo bem? Estou em um super projeto de Microsoft Identity Manager 2016 (Antigo FIM) e com isto estarei descrevendo um passo a passo para vocês de como realizar esta implementação desde o início. Um grande abraço e vamos ao artigo!
A primeira etapa necessária ao nosso projeto de Microsoft Identity Manager 2016 (MIM 2016) é a de preparação do Active Directory. É necessário criarmos de antemão as contas e grupos de Serviço pelo qual iremos usar em nosso ambiente.
Criando contas de Serviço
Faça logon no controlador de domínio e crie as seguintes contas de usuário para os serviços do MIM.
Inicie o PowerShell.
Digite o seguinte script do PowerShell para atualizar o domínio.
mimservername = nome do servidor de MIM 2016
Pass@word1 = Senha de exemplo.
import-module activedirectory
$sp = ConvertTo-SecureString “Pass@word1” –asplaintext –force
New-ADUser –SamAccountName MIMMA –name MIMMA
Set-ADAccountPassword –identity MIMMA –NewPassword $sp
Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName MIMSync –name MIMSync
Set-ADAccountPassword –identity MIMSync –NewPassword $sp
Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName MIMService –name MIMService
Set-ADAccountPassword –identity MIMService –NewPassword $sp
Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName MIMSSPR –name MIMSSPR
Set-ADAccountPassword –identity MIMSSPR –NewPassword $sp
Set-ADUser –identity MIMSSPR –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName MIMSSPRService –name MIMSSPR
Set-ADAccountPassword –identity MIMSSPRService –NewPassword $sp
Set-ADUser –identity MIMSSPRService –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName MIMSharePoint –name SharePoint
Set-ADAccountPassword –identity MIMSharePoint –NewPassword $sp
Set-ADUser –identity MIMSharePoint –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName SqlServer –name SqlServer
Set-ADAccountPassword –identity MIMSqlServer –NewPassword $sp
Set-ADUser –identity MIMSqlServer –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
Set-ADAccountPassword –identity MIMBackupAdmin –NewPassword $sp
Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
No final da execução dos comandos as seguintes contas de serviço estarão disponíveis:
MIMMA
MIMSync
MIMService
MIMSSPR
MIMSSPRService
MIMSharePoint
MIMSqlServer
MIMBackupAdmin
2) Criando grupos de Segurança
Execute o seguinte script do PowerShell:
New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global -SamAccountName MIMSyncOperators
New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
New-ADGroup –name MIMSyncPasswordReset –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordReset
Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
Add-ADGroupmember -identity MIMSyncAdmins -Members MIMService
3) Habilitando autenticação Kerberos para contas de serviço
Usando o PowerShell, adicione SPNs para habilitar a autenticação Kerberos para contas de serviço
setspn -S http/mimservername.domain.local DomainSharePoint
setspn -S http/mimservername DomainSharePoint
setspn -S FIMService/mimservername.domain.local DomainMIMService
setspn -S FIMSync/mimservername.domain.local DomainMIMSync
Fui premiado como Microsoft MVP por três anos consecutivos e atualmente atuo como Head de Security, apoiando clientes com soluções de arquiteturas e segurança em nuvem.
