Devolutions Server permet l'élévation de groupe juste-à-temps (JAT) et la rotation des mots de passe en utilisant un compte Active Directory comme fournisseur PAM. Lire les instructions ci-dessous pour apprendre à déléguer le contrôle à ce fournisseur PAM dans la console Active Directory Users and Computers (ADUC).
Pour gérer les comptes administrateurs de domaine en tant que comptes privilégiés dans le module PAM, il faut octroyer au compte fournisseur PAM AD l'accès à l'objet AdminSDHolder. Pour des étapes détaillées, voir Créer des comptes de gestion pour les comptes et groupes protégés dans Active Directory.
-
Ouvrir la console Utilisateurs et ordinateurs Active Directory (ADUC).
-
Clic droit sur l'unité d'organisation (UO) contenant les comptes privilégiés (ou sur un niveau supérieur d'UO pour inclure toutes les UO dans lesquelles le compte fournisseur PAM devrait avoir la capacité de faire pivoter les mots de passe des comptes), et sélectionner Déléguer le contrôle...
Delegate Control -
Dans l'Assistant de délégation du contrôle, cliquer sur Suivant pour atteindre le dialogue Utilisateurs ou Groupes. Cliquer sur Ajouter ou sélectionner le compte à utiliser en tant que compte fournisseur PAM dans Devolutions Server.
Add an account -
Entrer le nom de l'objet à sélectionner, puis cliquer sur Vérifier les noms. Cliquer sur OK pour confirmer.
Enter the object name to select -
Cliquer sur Suivant.
Selected user -
Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, puis cliquer sur Suivant.
Create a custom task to delegate -
Dans Type d'objet Active Directory, sélectionner Uniquement les objets suivants dans le dossier, puis cocher l'élément Objets groupe. Ensuite, cocher à la fois les cases Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier, et cliquer sur Suivant.
Object type -
Dans Permissions, cocher uniquement la case Spécifique à la propriété. Trouver et activer la permission Écrire Membres, puis cliquer sur Suivant.
Select permissions -
Vérifier que les correctes permissions ont été déléguées, puis cliquer sur Terminer pour compléter le processus.
End of process
-
Ouvrir la console Utilisateurs et ordinateurs Active Directory (ADUC).
-
Clic droit sur l'unité d'organisation (UO) contenant les comptes privilégiés (ou sur un niveau supérieur d'UO pour inclure toutes les UO dans lesquelles le compte fournisseur PAM devrait avoir la capacité de faire pivoter les mots de passe des comptes), et sélectionner Déléguer le contrôle...
Delegate Control -
Dans l'Assistant de délégation du contrôle, cliquer sur Suivant pour atteindre le dialogue Utilisateurs ou Groupes. Cliquer sur Ajouter ou sélectionner le compte à utiliser en tant que compte fournisseur PAM dans Devolutions Server.
Add an account -
Entrer le nom de l'objet à sélectionner, puis cliquer sur Vérifier les noms. Cliquer sur OK pour confirmer.
Enter the object name to select -
Cliquer sur Suivant.
Selected user -
Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, puis cliquer sur Suivant.
Create a custom task to delegate -
Dans Type d'objet Active Directory, sélectionner Uniquement les objets suivants dans le dossier, puis cocher l'élément Objets utilisateur. Ensuite, cocher à la fois les cases Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier, et cliquer sur Suivant.
Object type -
Dans Permissions, cocher les cases Général et Spécifique à la propriété. Trouver et activer les permissions suivantes, puis cliquer sur Suivant.
Changer le mot de passe
Réinitialiser le mot de passe
Lire temps de verrouillage
Écrire lockout Time
Lire pwdLastSet
Écrire PwdLastSet
Lire userAccountControl
Écrire userAccountControl

Vérifier que les correctes permissions ont été déléguées, puis cliquer sur Terminer pour compléter le processus.

La fonction de rotation de mot de passe utilise les règles de mot de passe intégrées par défaut de Devolutions Server. Pour appliquer des règles de mot de passe spécifiques au domaine, créer un modèle de mot de passe personnalisé sous Administration – Modèles de mots de passe, puis le définir comme modèle de mot de passe par défaut dans Administration – Paramètres système – Gestion des mots de passe – Modèle de mot de passe.