Moindre privilège pour Active Directory

Devolutions Server permet l'élévation de groupe juste-à-temps (JAT) et la rotation de mot de passe en utilisant un compte Active Directory comme fournisseur PAM. Lire les instructions ci-dessous pour apprendre comment déléguer le contrôle à ce fournisseur PAM dans la console Utilisateurs et ordinateurs Active Directory (ADUC).

Pour gérer les comptes administrateurs de domaine en tant que comptes privilégiés dans le module PAM, il faut octroyer au compte fournisseur PAM AD l'accès à l'objet AdminSDHolder. Pour des étapes détaillées, voir Créer des comptes de gestion pour les comptes et groupes protégés dans Active Directory.

Élévation de groupe JAT

  1. Ouvrir la console Utilisateurs et ordinateurs Active Directory (ADUC).

  2. Faire un clic droit sur l'unité organisationnelle (OU) contenant les comptes privilégiés (ou sur un niveau d'OU supérieur pour englober toutes les OUs dans lesquelles le compte fournisseur PAM devrait avoir la capacité de faire la rotation des mots de passe de compte), et sélectionner Déléguer le contrôle...Delegate Control

  3. Dans l'Assistant de délégation de contrôle, cliquer sur Suivant pour atteindre le dialogue Utilisateurs ou Groupes. Cliquer sur Ajouter ou sélectionner le compte à utiliser comme compte fournisseur PAM dans Devolutions Server.Add an account

  4. Entrer le nom de l'objet à sélectionner, puis cliquer sur Vérifier les noms. Cliquer sur OK pour confirmer.Enter the object name to select

  5. Cliquer sur Suivant.Selected user

  6. Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, puis cliquer sur Suivant.Create a custom task to delegate

  7. Dans Type d'objet Active Directory, sélectionnerSeulement les objets suivants dans le dossier, puis cocher l'élément Objets de groupe. Ensuite, cocher les cases Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier, et cliquer sur Suivant.Object type

  8. Dans Permissions, cocher uniquement la case Propriété spécifique. Trouver et activer la permission Écrire les membres, puis cliquer sur Suivant.Select permissions

  9. Vérifier que les permissions correctes ont été déléguées, puis cliquer sur Terminer pour compléter le processus.End of process

Rotation du mot de passe

  1. Ouvrir la console Utilisateurs et ordinateurs Active Directory (ADUC).

  2. Faire un clic droit sur l'unité organisationnelle (OU) contenant les comptes privilégiés (ou sur un niveau d'OU supérieur pour englober toutes les OUs dans lesquelles le compte fournisseur PAM devrait avoir la capacité de faire la rotation des mots de passe de compte), et sélectionner Déléguer le contrôle...Delegate Control

  3. Dans l'Assistant de délégation de contrôle, cliquer sur Suivant pour atteindre le dialogue Utilisateurs ou Groupes. Cliquer sur Ajouter ou sélectionner le compte à utiliser comme compte fournisseur PAM dans Devolutions Server.Add an account

  4. Entrer le nom de l'objet à sélectionner, puis cliquer sur Vérifier les noms. Cliquer sur OK pour confirmer.Enter the object name to select

  5. Cliquer sur Suivant.Selected user

  6. Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, puis cliquer sur Suivant.Create a custom task to delegate

  7. Dans Type d'objet Active Directory, sélectionnerSeulement les objets suivants dans le dossier, puis cocher l'élément Objets utilisateur. Ensuite, cocher les cases Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier, et cliquer sur Suivant.Object type

  8. Dans Permissions, cocher à la fois les cases Général et Propriété spécifique. Trouver et activer les permissions suivantes, puis cliquer sur Suivant.

    • Changer le mot de passe

    • Réinitialiser le mot de passe

    • Lire temps de verrouillage

    • Écrire lockout Time

    • Lire pwdLastSet

    • Écrire PwdLastSet

    • Lire userAccountControl

    • Écrire userAccountControlSelect permissions

  9. Vérifier que les permissions correctes ont été déléguées, puis cliquer sur Terminer pour compléter le processus.End of process

La fonction de rotation de mot de passe utilise les règles de mot de passe intégrées par défaut de Devolutions Server. Pour appliquer des règles de mot de passe spécifiques au domaine, créer un modèle de mot de passe personnalisé sous Administration – Modèles de mots de passe, puis le définir comme modèle de mot de passe par défaut dans Administration Paramètres système Gestion des mots de passe Modèle de mot de passe.

Devolutions Forum logo Donnez-nous vos commentaires