Devolutions Server permet l'élévation de groupe juste-à-temps (JIT) en utilisant un compte Active Directory comme fournisseur PAM. Cet article décrit les étapes pour déléguer le contrôle à ce fournisseur PAM dans la console Utilisateurs et ordinateurs Active Directory.
Pour gérer les comptes administrateurs de domaine en tant que comptes privilégiés dans le module PAM, octroyer au compte fournisseur PAM AD l'accès à l'AdminSDHolder. Voir Création de comptes de gestion pour comptes protégés et groupes dans Active Directory pour des instructions étape par étape.
Étapes
- Ouvrir la console Utilisateurs et ordinateurs Active Directory.
- Faire un clic droit sur l'Unité d'organisation (OU) contenant les comptes privilégiés ou à un niveau OU supérieur pour englober toutes les OU dans lesquelles le compte fournisseur PAM doit avoir la capacité de faire tourner les mots de passe de compte, et sélectionner Déléguer le contrôle....
- Dans l'Assistant Délégation de Contrôle, cliquer sur Suivant pour atteindre le dialogue Utilisateurs ou Groupes. Là, choisir le compte à utiliser comme compte fournisseur PAM dans Devolutions Server avant de cliquer sur Suivant.
- Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, et cliquer sur Suivant.
- Dans Type d'objet Active Directory – Seulement les objets suivants dans le dossier, sélectionner l'élément Objets groupe. Ensuite, cocher les cases Créer des objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier, et cliquer sur Suivant.
- Dans Permissions, cocher la case Spécifique à la propriété. Trouver et activer l'autorisation Écrire les membres, et cliquer sur Suivant.
- Cliquer sur le bouton Terminer pour compléter le processus de délégation.