Ce guide fournit les étapes pour créer un fournisseur d'utilisateurs Windows pour gérer les comptes locaux Windows dans le module PAM de Devolutions Server.
Le Service de planification doit être installé et en cours d'exécution pour utiliser cette fonctionnalité.
Si vous utilisez un autre administrateur que celui intégré par défaut, vous devez activer la politique "Contrôle de Compte d'Utilisateur : Mode d'Approbation de l'Admin pour le Compte Administrateur Intégré". Voir l'article de Microsoft pour plus d'informations : Description du contrôle de compte d'utilisateur et des restrictions à distance dans Windows Vista.
S'assurer que WinRM est correctement configuré et que toutes les machines distantes sont ajoutées dans la liste des hôtes de confiance comme indiqué dans WinRM et liste des hôtes de confiance.
Créer un compte local sur l'hôte distant qui sera géré par le module de PAM comme compte privilégié. Les comptes locaux doivent avoir l'option L'utilisateur ne peut pas changer le mot de passe activée pour éviter des problèmes avec la synchronisation du mot de passe dans le module de gestion des accès privilégiés. Si ce compte doit avoir des droits administratifs, alors l'ajouter au groupe des Administrateurs locaux.
Aller dans Gestion des accès privilégiés – Fournisseurs sur l'interface Web de Devolutions Server pour ajouter un fournisseur d'utilisateurs Windows.
Définir le nom du fournisseur ; Définir le nom de l'ordinateur et les informations de domaine de l'hôte distant dans la section Hôte ; Définir les valeurs du nom d'utilisateur et du mot de passe pour le compte fournisseur dans la section Identifiants. Ce compte doit avoir les droits administratifs appropriés sur l'hôte pour gérer les comptes d'utilisateurs locaux. Dans cet exemple, david@windjammer.loc est un compte de domaine qui est membre du groupe des Administrateurs locaux de l'hôte distant.
Avec l'option Ajouter configuration de scan activée, créer la configuration de scan pour rechercher les comptes locaux. Le compte Administrateur intégré ne peut pas être géré par le module de gestion des accès privilégiés à causse de l'option mentionnée à l'étape 3 ci-dessus qui ne peut pas être activée.
Une fois le scan terminé, une liste de comptes est disponible. Cliquer sur le bouton Oeil pour voir les comptes détectés.
Sélectionner le compte qui sera géré et cliquer sur le bouton Importer les comptes sélectionnés.
Sélectionner le dossier où le compte sera situé dans Gestion des accès privilégiés – Page comptes.
En cas de succès, cette boîte de dialogue d'invite devrait être affichée dans le coin supérieur droit.
Le compte est maintenant disponible dans le dossier.
Donnez-nous vos commentaires