Moindre privilèges pour élévation de groupe JIT Active Directory

Sur cette page

Devolutions Server permet l'élévation de groupe juste-à-temps (JIT) en utilisant un compte Active Directory comme fournisseur PAM. Cet article décrit les étapes pour déléguer le contrôle à ce fournisseur PAM dans la console Utilisateurs et ordinateurs Active Directory.

Pour gérer les comptes administrateurs de domaine en tant que comptes privilégiés dans le module PAM, octroyer au compte fournisseur PAM AD l'accès à l'AdminSDHolder. Voir Création de comptes de gestion pour comptes protégés et groupes dans Active Directory pour des instructions étape par étape.

Étapes

  1. Ouvrir la console Utilisateurs et ordinateurs Active Directory.
  2. Faire un clic droit sur l'Unité d'organisation (OU) contenant les comptes privilégiés ou à un niveau OU supérieur pour englober toutes les OU dans lesquelles le compte fournisseur PAM doit avoir la capacité de faire tourner les mots de passe de compte, et sélectionner Déléguer le contrôle....

Delegate Control option
Delegate Control option

  1. Dans l'Assistant Délégation de Contrôle, cliquer sur Suivant pour atteindre le dialogue Utilisateurs ou Groupes. Là, choisir le compte à utiliser comme compte fournisseur PAM dans Devolutions Server avant de cliquer sur Suivant.

Choose PAM provider
Choose PAM provider

  1. Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, et cliquer sur Suivant.

Create a custom task to delegate option
Create a custom task to delegate option

  1. Dans Type d'objet Active DirectorySeulement les objets suivants dans le dossier, sélectionner l'élément Objets groupe. Ensuite, cocher les cases Créer des objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier, et cliquer sur Suivant.

Active Directory Object Type
Active Directory Object Type

  1. Dans Permissions, cocher la case Spécifique à la propriété. Trouver et activer l'autorisation Écrire les membres, et cliquer sur Suivant.

Enable the Write Members permission
Enable the Write Members permission

  1. Cliquer sur le bouton Terminer pour compléter le processus de délégation.

Recap of the newly granted permission
Recap of the newly granted permission

Devolutions Forum logo Donnez-nous vos commentaires