Moindre privilège pour Active Directory

Devolutions Server permet l'élévation de groupe juste-à-temps (JAT) et la rotation des mots de passe en utilisant un compte Active Directory comme fournisseur PAM. Lire les instructions ci-dessous pour apprendre à déléguer le contrôle à ce fournisseur PAM dans la console Active Directory Users and Computers (ADUC).

Pour gérer les comptes administrateurs de domaine en tant que comptes privilégiés dans le module PAM, il faut octroyer au compte fournisseur PAM AD l'accès à l'objet AdminSDHolder. Pour des étapes détaillées, voir Créer des comptes de gestion pour les comptes et groupes protégés dans Active Directory.

Élévation de groupe JAT

  1. Ouvrir la console Utilisateurs et ordinateurs Active Directory (ADUC).

  2. Clic droit sur l'unité d'organisation (UO) contenant les comptes privilégiés (ou sur un niveau supérieur d'UO pour inclure toutes les UO dans lesquelles le compte fournisseur PAM devrait avoir la capacité de faire pivoter les mots de passe des comptes), et sélectionner Déléguer le contrôle...

    Delegate Control
    Delegate Control
  3. Dans l'Assistant de délégation du contrôle, cliquer sur Suivant pour atteindre le dialogue Utilisateurs ou Groupes. Cliquer sur Ajouter ou sélectionner le compte à utiliser en tant que compte fournisseur PAM dans Devolutions Server.

    Add an account
    Add an account
  4. Entrer le nom de l'objet à sélectionner, puis cliquer sur Vérifier les noms. Cliquer sur OK pour confirmer.

    Enter the object name to select
    Enter the object name to select
  5. Cliquer sur Suivant.

    Selected user
    Selected user
  6. Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, puis cliquer sur Suivant.

    Create a custom task to delegate
    Create a custom task to delegate
  7. Dans Type d'objet Active Directory, sélectionner Uniquement les objets suivants dans le dossier, puis cocher l'élément Objets groupe. Ensuite, cocher à la fois les cases Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier, et cliquer sur Suivant.

    Object type
    Object type
  8. Dans Permissions, cocher uniquement la case Spécifique à la propriété. Trouver et activer la permission Écrire Membres, puis cliquer sur Suivant.

    Select permissions
    Select permissions
  9. Vérifier que les correctes permissions ont été déléguées, puis cliquer sur Terminer pour compléter le processus.

    End of process
    End of process

Rotation du mot de passe

  1. Ouvrir la console Utilisateurs et ordinateurs Active Directory (ADUC).

  2. Clic droit sur l'unité d'organisation (UO) contenant les comptes privilégiés (ou sur un niveau supérieur d'UO pour inclure toutes les UO dans lesquelles le compte fournisseur PAM devrait avoir la capacité de faire pivoter les mots de passe des comptes), et sélectionner Déléguer le contrôle...

    Delegate Control
    Delegate Control
  3. Dans l'Assistant de délégation du contrôle, cliquer sur Suivant pour atteindre le dialogue Utilisateurs ou Groupes. Cliquer sur Ajouter ou sélectionner le compte à utiliser en tant que compte fournisseur PAM dans Devolutions Server.

    Add an account
    Add an account
  4. Entrer le nom de l'objet à sélectionner, puis cliquer sur Vérifier les noms. Cliquer sur OK pour confirmer.

    Enter the object name to select
    Enter the object name to select
  5. Cliquer sur Suivant.

    Selected user
    Selected user
  6. Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, puis cliquer sur Suivant.

    Create a custom task to delegate
    Create a custom task to delegate
  7. Dans Type d'objet Active Directory, sélectionner Uniquement les objets suivants dans le dossier, puis cocher l'élément Objets utilisateur. Ensuite, cocher à la fois les cases Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier, et cliquer sur Suivant.

    Object type
    Object type
  8. Dans Permissions, cocher les cases Général et Spécifique à la propriété. Trouver et activer les permissions suivantes, puis cliquer sur Suivant.

  • Changer le mot de passe

  • Réinitialiser le mot de passe

  • Lire temps de verrouillage

  • Écrire lockout Time

  • Lire pwdLastSet

  • Écrire PwdLastSet

  • Lire userAccountControl

  • Écrire userAccountControl

Select permissions
Select permissions
  1. Vérifier que les correctes permissions ont été déléguées, puis cliquer sur Terminer pour compléter le processus.

End of process
End of process

La fonction de rotation de mot de passe utilise les règles de mot de passe intégrées par défaut de Devolutions Server. Pour appliquer des règles de mot de passe spécifiques au domaine, créer un modèle de mot de passe personnalisé sous Administration – Modèles de mots de passe, puis le définir comme modèle de mot de passe par défaut dans Administration Paramètres système Gestion des mots de passe Modèle de mot de passe.

Devolutions Forum logo Donnez-nous vos commentaires