Avant le déploiement d'une instance Devolutions Server, certains comptes sont nécessaires pour faire fonctionner les divers services impliqués dans un déploiement sécurisé de Devolutions Server. La première décision est d'utiliser soit des comptes de domaine pour exploiter la plateforme, soit d'utiliser des comptes SQL locaux jumelés à des comptes de service locaux. Puisque cette décision est une question de préférence personnelle, nous prenons en charge les deux modèles.
Avant de procéder, veuillez prendre en compte les éléments suivants :
Les noms utilisés dans ce guide visent à faciliter la compréhension du rôle rempli par le compte. Notre documentation utilise également ces noms, mais il n'est pas nécessaire que vous les utilisiez.
Les comptes suivants interagissant avec la base de données SQL se verront octroyer les droits de moindre privilège à partir des scripts qui seront exécutés lors de la création et de la mise à niveau de l'instance de Devolutions Server.
Opération basée sur le domaine (option de sécurité intégrée)
Les informations d'identification d'administration ont besoin des autorisations de lecture sur la structure AD et ne modifient PAS votre répertoire. Dans la plupart des cas, cela devrait être suffisant. Malheureusement, en raison d'un effet secondaire de la façon dont les services de répertoire net sont construits, il y a un problème lorsque ce compte tente de lire les propriétés des groupes AD qui peuvent résider dans une zone protégée de votre répertoire. La solution la plus simple était d'octroyer tous les privilèges administratifs, mais nous cherchons à mettre en place une meilleure stratégie de repli pour gérer le cas où l'accès est refusé. Cela peut nécessiter des privilèges plus élevés que ceux d'être membre du groupe Active Directory des utilisateurs de domaine intégrés.
# | Nom | ORIGINE | DESCRIPTION | DÉFINIR DANS... |
|---|---|---|---|---|
1 | VaultDBOwner | AD |
| Session interactive Windows utilisée pour exécuter l'installation/la mise à niveau d'une instance de Devolutions Server. Ce compte doit être un administrateur local de la machine hôte Devolutions Server. |
2 | VaultDBRunner | AD |
| Pools d'applications IIS qui exécutent une instance Devolutions Server. |
3 | VaultADReader | AD |
| Paramètres d'instance de Devolutions Server - Informations d'identification d'administration. |
4 | VaultDBSchedulerService | AD |
| Gestionnaire des services Windows. |
Fonctionnement non basé sur domaine ou environnement SQL Azure
Sur un déploiement non basé sur un domaine, une seule chaîne de connexion est utilisée pour trois aspects différents du système. Cela sera amélioré dans une future version pour respecter le principe de moindre privilège.
Pour la base de données hébergée sur Azure SQL, l'opération basée sur le domaine (option de sécurité intégrée) n'est pas prise en charge.
# | NOM | ORIGINE | DESCRIPTION | DÉFINIR DANS... |
|---|---|---|---|---|
1 | VaultDBOwner | SQL |
| La console Devolutions Server uniquement pour les sessions d'installation/mise à jour. |
2 | VaultDBRunner | SQL |
| La console Devolutions Server pour les opérations de l'instance. |
3 | VaultADReader | AD |
| Paramètres d'instance de Devolutions Server - Informations d'identification d'administration. |
4 | VaultDBSchedulerService | SQL |
| Console Devolutions Server – Service de planificateur. L'accès à la base de données sera effectué par le seul ConnectionString qui fait l'objet de la note d'information ci-dessus. |
Donnez-nous vos commentaires