Ce guide fournit les étapes pour créer un fournisseur d'utilisateurs Windows pour gérer les comptes locaux Windows dans le module PAM de Devolutions Server.
Le service de planification doit être installé et en cours d'exécution pour utiliser cette fonctionnalité.
Si vous utilisez un administrateur différent de celui intégré par défaut, vous devez activer la politique "User Account Control: Admin Approval Mode for the Built-in Administrator account". Voir l'article de Microsoft pour plus d'informations : Description du contrôle de compte d'utilisateur et des restrictions à distance dans Windows Vista.
- S'assurer que WinRM est correctement configuré et que toutes les machines distantes sont ajoutées dans la liste des hôtes de confiance comme indiqué dans WinRM et liste des hôtes de confiance.
- Créer un compte local sur l'hôte distant qui sera géré par le module PAM en tant que compte privilégié. Les comptes locaux doivent avoir l'option L'utilisateur ne peut pas changer le mot de passe activée pour éviter des problèmes de synchronisation du mot de passe dans le module Gestion des accès privilégiés. Si ce compte doit avoir des droits administratifs, ajouter alors au groupe Administrateurs locaux.
Propriétés du compte local - Aller dans Privileged access – Providers sur l'interface web Devolutions Server pour ajouter un fournisseur d'utilisateurs Windows.
Windows user provider - Définir le Nom du fournisseur ; Définir le nom de l'Ordinateur et les informations de Domaine de l'hôte distant dans la section Hôte ; Définir les valeurs de Nom d'utilisateur et de Mot de passe pour le compte du fournisseur dans la section Informations d'identification. Ce compte doit avoir les droits administratifs appropriés sur l'hôte pour gérer les comptes utilisateurs locaux. Dans cet exemple, david@windjammer.loc est un compte de domaine qui est membre du groupe Administrateurs locaux de l'hôte distant.
Windows user provider settings - Avec l'option Add scan configuration activée, créer la configuration d'analyse pour rechercher les comptes locaux. Le compte Administrateur intégré ne peut pas être géré par le module de gestion des accès privilégiés en raison de l'option mentionnée à l'étape 3 ci-dessus qui ne peut pas être activée.
- Une fois l'analyse terminée, une liste de comptes est disponible. Cliquer sur le bouton en forme d'œil pour voir les comptes détectés.
- Sélectionner le compte qui sera géré et cliquer sur le bouton Importer les comptes sélectionnés.
- Sélectionner le dossier où le compte sera situé dans Page des comptes – Gestion des accès privilégiés.
- En cas de succès, cette boîte de dialogue devrait être affichée dans le coin supérieur droit.
- Le compte est maintenant disponible dans le dossier.
Donnez-nous vos commentaires