Windows Server中的PAM

在Windows Server 2016中出现的PAM，是一项旨在加强系统安全的新功能，它并不是IPAM，IPAM指的是IP地址管理 (IP Address Management)；PAM意 为 特权访问管理（Privileged Access Management），其 主要服务于活动目录AD DS（Active Directory Domain Services），而另一项功能PIM则从属于微软提供的云服务AAD(Azure Active Directory)。

而在笔者看来，PAM理应为微软安全架构MIM(Microsoft Identity Manager)在Windows Server 2016中的标志性功能，但其实现方式涉及到两种管理方式，它们分别为JIT (Just in Time)与JEA(Just Enough Administration)，它们针对的当然是系统管理的权力中心。

那么，PAM为管理员带来了什么？

防止管理员账户滥权

值得指出的是，早在Windows 2000 Server中问世的活动目录Active Directory(AD)，挟 裹 着协 议LDAP(Lightweight Directory Access Protocol)加盟到企业级OS NetWare中并逐渐流行，其中一项重要的服务便是NDS(NetWare Directory Services)，此时AD摇身变为 AD DS(Active Directory Domain Services)并现身于后来各个版本的Windows Server之中，AD DS为Windows中基于域的网络提供了集中式安全策略。

在近年来版本不断推新的Win Server 中，AD DS一直在不断地发展完善，其过程细节笔者在此不再赘述。关键在于，Windows Server 2016 AD DS中的新变化正是本文主角PAM，其任务就是解决管理员账户使用中的乱局。

在很多管理不善的网络系统，管理员账户随意乱用的情形较为普遍，为此Windows Vista中提供的User Account Control(UAC)试图对桌面OS中的管理账户加以限制，但在实际应用中由于系统纷纷取消UAC这样的“素颜”而收效甚微。

因而，服务器管理员账户的泛滥就为系统的安全造成了巨大隐患。因为管理账户的权限包括：可以安装程序，改变配置设置，新建删除用户，分配文件的操作方式等等，这样的权力如果交到错误的手中，系统的安全则形同虚设,不攻自破。Windows Server 2016下决心扭转这种痼疾型局面，为此在对“特权管理”中提出了JIT（Just in Time administration）与 JEA（Just Enough Administration）两种管理模式，依次实现对管理员账户的精细化管理，那么它们俩与PAM 有什么关系呢？

PAM作用在于认证AD DS域的账户，并贯彻执行MIM(Microsoft Identity Manager)，PAM建立一个在AD中形成的同时又服从AD管理规则的独立保护区域，从而避开了AD“丛林”中可能存在的危机。由PAM营造的这个“特区”有着其独立的AD DS及其配套的软件和媒介，非指定的管理员即便有管理员账户也会谢绝入内。

JIT与JEA的作用

PAM通过JIT与JEA用于约束管理员账户的权力时段和范围。在过去很长一段时期，业界流传的一种说法是管理员应该具有两个不同账户，一个是具有特权的管理账户，另外一个就是没有特权的普通用户账户，他可以根据需要在两个账户之间切换。

这种做法听上去很不错，但在实际工作中很多人不会这么做，很多人会图省事只用他的一个贵族账号搞定一切，这似乎也很符合人性。为解决这种情形，PAM通过JIT与JEA两种约束方式加以限制。

JIT的作用主要是，只有在执行工作需要时才提供管理特权，而且是在限定的时间段内，而不能是永久不限时地提供特权，依次降低由于人为因素造成的系统分险。

与此相反的另一种方式，JEA则是限制管理特权的执行范围，其实现方式为准许特定的用户在特定的服务器上执行指定的管理任务，而不是给管理员账户过多甚至全部的管理特权，通过对权力的限制提升系统的安全系数。

JEA是通过一个名为RBAC(Role Based Access Control)的工作平台完成的，它有利于精简管理员的设置人数，让系统管理更加清晰和条理，当然目的是为了更加安全。