Moindres privilèges pour la rotation du mot de passe Active Directory

Sur cette page

Devolutions Server permet la rotation des mots de passe de compte en utilisant un compte Active Directory comme fournisseur PAM. Cet article décrit les étapes pour déléguer le contrôle à ce fournisseur PAM dans la console Utilisateurs et ordinateurs Active Directory.

Pour gérer les comptes administrateur de domaine en tant que comptes privilégiés dans le module PAM, octroyer au compte fournisseur PAM AD l'accès à l'AdminSDHolder. Voir Créer des comptes de gestion pour des comptes et groupes protégés dans Active Directory pour des instructions détaillées.

Étapes

  1. Ouvrir la console Utilisateurs et ordinateurs Active Directory.

  2. Faire un clic droit sur l'unité d'organisation (OU) contenant les comptes privilégiés ou sur un niveau d'OU supérieur pour englober toutes les OUs dans lesquelles le compte fournisseur PAM devrait avoir la capacité de faire tourner les mots de passe des comptes, et sélectionner Déléguer le contrôle....

Delegate Control... option
Delegate Control... option

  1. Dans l'assistant de délégation de contrôle, cliquer sur Suivant pour atteindre le dialogue des Utilisateurs ou Groupes. Là, choisir le compte à utiliser comme compte fournisseur PAM dans Devolutions Server avant de cliquer sur Suivant.

Choose PAM provider
Choose PAM provider

  1. Dans Tâches à déléguer, sélectionner Créer une tâche personnalisée à déléguer, et cliquer sur Suivant..

Create a custom task to delegate option
Create a custom task to delegate option

  1. Dans Type d'objet Active Directory, sélectionner l'option Uniquement les objets suivants dans le dossier et cocher l'élément Objets utilisateur. Ensuite, cliquer sur Suivant.

Active Directory Object Type
Active Directory Object Type

  1. Dans Permissions, afficher les permissions Général et Spécifique à la propriété, et vérifier les éléments suivants avant de cliquer sur Suivant:

  • Changer le mot de passe

  • Réinitialiser le mot de passe

  • Lire lockout Time

  • Écrire lockout Time

  • Lire pwdLastSet

  • Écrire PwdLastSet

  • Lire userAccountControl

  • Écrire userAccountControl

Enable General and Property-specific permissions
Enable General and Property-specific permissions

  1. Revoir les changements si nécessaire et cliquer sur le bouton Terminer pour compléter la délégation du contrôle.

Review changes and complete delegation of control
Review changes and complete delegation of control

La fonctionnalité de rotation des mots de passe utilisera les règles de mot de passe intégrées par défaut de Devolutions Server. Pour améliorer les règles de mot de passe pour respecter les règles de mot de passe du domaine, créer un modèle de mot de passe dans Administration – Modèles de mot de passe, puis le définir comme modèle de mot de passe par défaut dans Administration Paramètres système Gestion des mots de passe Modèle de mot de passe.

Devolutions Forum logo Donnez-nous vos commentaires