Moindre privilèges pour fournisseur Active Directory

Devolutions Server permet l'élévation de groupe juste-à-temps (JIT) et la rotation des mots de passe en utilisant un compte Active Directory comme fournisseur PAM. Lire les instructions ci-dessous pour apprendre comment déléguer le contrôle à ce fournisseur PAM dans la console Utilisateurs et Ordinateurs Active Directory (ADUC).

1. Ouvrir la console Utilisateurs et ordinateurs Active Directory (ADUC).

2. Faire un clic droit sur l'unité organisationnelle (UO) contenant les groupes pour les comptes privilégiés (ou sur un niveau d'UO supérieur pour englober toutes les UO dans lesquelles le fournisseur PAM devrait avoir la capacité de changer les adhésions aux groupes), et sélectionner Delegate Control...

   S'assurer de répéter ces étapes pour l'UO dans laquelle les groupes temporaires sont créés.

   

3. Dans l'Assistant de délégation du contrôle, cliquer sur Suivant pour atteindre le dialogue Utilisateurs ou Groupes. Cliquer sur Ajouter ou sélectionner le compte à utiliser en tant que compte fournisseur PAM dans Devolutions Server.

   

4. Entrer le nom de l'objet à sélectionner, puis cliquer sur Vérifier les noms. Cliquer sur OK pour confirmer.

   

5. Cliquer sur Suivant.

   

6. Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, puis cliquer sur Suivant.

   

7. Dans Type d'objet Active Directory, sélectionner Uniquement les objets suivants dans le dossier, puis cocher l'élément Objets groupe. Ensuite, cocher à la fois les cases Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier, et cliquer sur Suivant.

   

8. Dans Permissions, cocher uniquement la case Spécifique à la propriété. Trouver et activer la permission Écrire Membres, puis cliquer sur Suivant.

   

9. Vérifier que les correctes permissions ont été déléguées, puis cliquer sur Terminer pour compléter le processus.

   

1. Ouvrir la console Utilisateurs et ordinateurs Active Directory (ADUC).

2. Clic droit sur l'unité d'organisation (UO) contenant les comptes privilégiés (ou sur un niveau supérieur d'UO pour inclure toutes les UO dans lesquelles le compte fournisseur PAM devrait avoir la capacité de faire pivoter les mots de passe des comptes), et sélectionner Déléguer le contrôle...

   

3. Dans l'Assistant de délégation du contrôle, cliquer sur Suivant pour atteindre le dialogue Utilisateurs ou Groupes. Cliquer sur Ajouter ou sélectionner le compte à utiliser en tant que compte fournisseur PAM dans Devolutions Server.

   

4. Entrer le nom de l'objet à sélectionner, puis cliquer sur Vérifier les noms. Cliquer sur OK pour confirmer.

   

5. Cliquer sur Suivant.

   

6. Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, puis cliquer sur Suivant.

   

7. Dans Type d'objet Active Directory, sélectionner Uniquement les objets suivants dans le dossier, puis cocher l'élément Objets utilisateur. Ensuite, cocher à la fois les cases Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier, et cliquer sur Suivant.

   

8. Dans Permissions, cocher les cases Général et Spécifique à la propriété. Trouver et activer les permissions suivantes, puis cliquer sur Suivant.

• Changer le mot de passe

• Réinitialiser le mot de passe

• Lire temps de verrouillage

• Écrire lockout Time

• Lire pwdLastSet

• Écrire PwdLastSet

• Lire userAccountControl

• Écrire userAccountControl

9. Vérifier que les correctes permissions ont été déléguées, puis cliquer sur Terminer pour compléter le processus.