Configurando JIT para Gerenciamento de Usuários no AD via WinRM e senhasegura

O gerenciamento Just-In-Time (JIT) de usuários no Active Directory (AD) utilizando o Windows Remote Management (WinRM) pode ser eficientemente configurado através do senhasegura. Para isso, é necessário criar templates específicos para a criação e exclusão de usuários, que facilitam o processo automatizado e seguro de gerenciamento de usuários de domínio. Aqui está o passo a passo para configurar esses templates e a utilização subsequente dentro do senhasegura.

Configurando a Conectividade Windows RM:

  1. Portas de Conexão via WinRM:
  • WinRM utiliza a porta 5985 para conexões HTTP e a porta 5986 para conexões HTTPS. Certifique-se de que essas portas estejam configuradas e abertas nos dispositivos de destino.
  1. Criação de Templates no senhasegura:
  • Acesse Executions → Configurações → Modelo no senhasegura.

  • Crie um template de executor Windows RM com o tipo “Criação de Usuário” para criação de usuários e outro com o tipo “Exclusão de usuário” para exclusão de usuários.
    gif1

Templates de Execução:

  • Template de Criação de Usuário:

!unsecure

powershell New-ADUser -SamAccountName [#USERNAME#] -Name "[#USERNAME#]" -AccountPassword (ConvertTo-SecureString -AsPlainText "[#NEW_PASSWORD#]" -Force) -Enabled $true -Path 'CN=Users,DC=senhaseguralab,DC=com'

  • Template de Remoção de Usuário:

!unsecure

powershell Remove-ADUser -Identity "[#USERNAME#]" -Confirm:$false

Configuração do JIT na Credencial:

  • Após a criação dos templates, edite a credencial desejada e na aba “Configurações JIT” adicione os templates de criação e exclusão conforme necessário.
    gif

Considerações Adicionais:

  • Personalização do CN Base:

    • Adapte o caminho CN=Users,DC=senhaseguralab,DC=com nos scripts conforme a estrutura do seu AD para garantir que os usuários sejam criados e removidos corretamente.
  • Verificação da Conectividade Windows RM:

    • Certifique-se de que a conectividade Windows RM esteja devidamente configurada e funcional no dispositivo alvo para evitar falhas no processo de execução.

Importante:

Essas configurações permitem gerenciar usuários do AD de forma remota e automatizada, utilizando a infraestrutura do senhasegura com o suporte do WinRM. Lembre-se, estas configurações são específicas para credenciais de domínio, não aplicáveis a contas locais.