Devolutions Server permet l'élévation de groupe juste-à-temps (JAT) et la rotation de mot de passe en utilisant un compte Active Directory comme fournisseur PAM. Lire les instructions ci-dessous pour apprendre comment déléguer le contrôle à ce fournisseur PAM dans la console Utilisateurs et ordinateurs Active Directory (ADUC).
Pour gérer les comptes administrateurs de domaine en tant que comptes privilégiés dans le module PAM, il faut octroyer au compte fournisseur PAM AD l'accès à l'objet AdminSDHolder. Pour des étapes détaillées, voir Créer des comptes de gestion pour les comptes et groupes protégés dans Active Directory.
Ouvrir la console Utilisateurs et ordinateurs Active Directory (ADUC).
Faire un clic droit sur l'unité organisationnelle (OU) contenant les comptes privilégiés (ou sur un niveau d'OU supérieur pour englober toutes les OUs dans lesquelles le compte fournisseur PAM devrait avoir la capacité de faire la rotation des mots de passe de compte), et sélectionner Déléguer le contrôle...
Dans l'Assistant de délégation de contrôle, cliquer sur Suivant pour atteindre le dialogue Utilisateurs ou Groupes. Cliquer sur Ajouter ou sélectionner le compte à utiliser comme compte fournisseur PAM dans Devolutions Server.
Entrer le nom de l'objet à sélectionner, puis cliquer sur Vérifier les noms. Cliquer sur OK pour confirmer.
Cliquer sur Suivant.
Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, puis cliquer sur Suivant.
Dans Type d'objet Active Directory, sélectionnerSeulement les objets suivants dans le dossier, puis cocher l'élément Objets de groupe. Ensuite, cocher les cases Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier, et cliquer sur Suivant.
Dans Permissions, cocher uniquement la case Propriété spécifique. Trouver et activer la permission Écrire les membres, puis cliquer sur Suivant.
Vérifier que les permissions correctes ont été déléguées, puis cliquer sur Terminer pour compléter le processus.
Ouvrir la console Utilisateurs et ordinateurs Active Directory (ADUC).
Faire un clic droit sur l'unité organisationnelle (OU) contenant les comptes privilégiés (ou sur un niveau d'OU supérieur pour englober toutes les OUs dans lesquelles le compte fournisseur PAM devrait avoir la capacité de faire la rotation des mots de passe de compte), et sélectionner Déléguer le contrôle...
Dans l'Assistant de délégation de contrôle, cliquer sur Suivant pour atteindre le dialogue Utilisateurs ou Groupes. Cliquer sur Ajouter ou sélectionner le compte à utiliser comme compte fournisseur PAM dans Devolutions Server.
Entrer le nom de l'objet à sélectionner, puis cliquer sur Vérifier les noms. Cliquer sur OK pour confirmer.
Cliquer sur Suivant.
Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, puis cliquer sur Suivant.
Dans Type d'objet Active Directory, sélectionnerSeulement les objets suivants dans le dossier, puis cocher l'élément Objets utilisateur. Ensuite, cocher les cases Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier, et cliquer sur Suivant.
Dans Permissions, cocher à la fois les cases Général et Propriété spécifique. Trouver et activer les permissions suivantes, puis cliquer sur Suivant.
Changer le mot de passe
Réinitialiser le mot de passe
Lire temps de verrouillage
Écrire lockout Time
Lire pwdLastSet
Écrire PwdLastSet
Lire userAccountControl
Écrire userAccountControl
Vérifier que les permissions correctes ont été déléguées, puis cliquer sur Terminer pour compléter le processus.
La fonction de rotation de mot de passe utilise les règles de mot de passe intégrées par défaut de Devolutions Server. Pour appliquer des règles de mot de passe spécifiques au domaine, créer un modèle de mot de passe personnalisé sous Administration – Modèles de mots de passe, puis le définir comme modèle de mot de passe par défaut dans Administration – Paramètres système – Gestion des mots de passe – Modèle de mot de passe.