Enquête de compte pré-déploiement

Sur cette page

Une instance Devolutions Server requiert plusieurs comptes pour exécuter ses différents services. Les instances prennent en charge les comptes de domaine Active Directory ou les comptes SQL jumelés avec des comptes de service locaux pour exécuter ses services.

Les noms de compte dans cette rubrique ne sont que des suggestions.

Comptes de domaine Windows (authentification intégrée)

Devolutions Server prend en charge l'utilisation de l'authentification intégrée pour les comptes Windows. Typiquement, ces comptes sont gérés dans des environnements Active Directory locaux ou Azure Entra ID hébergés dans le nuage.

Il est recommandé d'utiliser des comptes distincts pour les différents rôles.

COMPTE

TYPE

OBJECTIF

EXIGENCES

DVLS_Owner

Active Directory ou Windows local

Un compte Windows administratif local doit exister sur le système hôte Devolutions Server pour l'installer et l'administrer correctement (via l'application Console Devolutions Server).

Utilisé pour lancer l'application Console Devolutions Server afin d'installer une instance Devolutions Server.

  • Un membre interactif du groupe Administrateurs locaux Windows sur le système hôte Devolutions Server.

  • Microsoft SQL Server

    • Rôle de serveur : dbcreator

    • Sécurisable : Alter any login

    • Base de données : dbowner

DVLS_Runner

Active Directory

Le compte est assigné au pool d'applications IIS exécutant l'instance Devolutions Server et se voit attribuer les moindres privilèges lors de l'installation de l'instance.

Il est configuré dans la Console Devolutions Server lors de l'installation d'une instance.

Les comptes gMSA sont pris en charge.

  • Cela nécessite l'autorisation Log on as a batch job dans la Stratégie de sécurité locale (secpol.msc) – Politiques localesAttribution des droits utilisateur.

    S'assurer de désactiver tout objet stratégie de groupe qui pourrait réécrire cette configuration.

DVLS_Scheduler

Active Directory

Ce compte est requis pour gérer des tâches en arrière-plan au sein d'une instance Devolutions Server, comme le service de planification, et se voit attribuer les moindres privilèges lors de l'installation de l'instance.

Configuré dans la Console Devolutions Server lors de l'installation d'une instance.

Les comptes gMSA sont pris en charge.

  • Cela nécessite l'autorisation Log on as a batch job dans la Stratégie de sécurité locale (secpol.msc) – Politiques localesAttribution des droits utilisateur.

    S'assurer de désactiver tout objet stratégie de groupe qui pourrait réécrire cette configuration.

DVLS_ADAuth

Active Directory

Un compte optionnel qui est seulement requis si l'authentification Windows est activée pour une instance Devolutions Server. Une fois installé, configurer les méthodes d'authentification disponibles dans l'interface web sous Administration Configuration Paramètres du serveur Authentification.

  • Une autorisation de lecture seule dans l'unité organisationnelle (OU) donnée au sein d'Active Directory, où les utilisateurs de Devolutions Server sont stockés.

    Il est recommandé d'utiliser un utilisateur de domaine.

Comptes SQL Windows

Devolutions Server prend en charge les connexions SQL pour les ordinateurs Windows non joints à un domaine, ou si des comptes non-domain sont à utiliser. Il est recommandé d'utiliser des comptes séparés pour les différents rôles.

Il est recommandé d'utiliser des comptes distincts pour les différents rôles.

COMPTE

TYPE

OBJECTIF

EXIGENCES

DVLS_Owner

Windows local

Un compte Windows administratif local doit exister sur le système hôte Devolutions Server pour l'installer et l'administrer correctement (via l'application Console Devolutions Server).

Utilisé pour lancer l'application Console Devolutions Server afin d'installer une instance Devolutions Server.

  • Un membre interactif du groupe Administrateurs locaux Windows sur le système hôte Devolutions Server.

  • Microsoft SQL Server

    • Rôle de serveur : dbcreator

    • Sécurisable : Alter any login

    • Base de données : dbowner

DVLS_Runner

SQL Login

Le pool d'applications IIS s'exécute en tant que compte local Windows Network Service en utilisant la connexion SQL dans une chaîne de connexion SQL stockée.

DVLS_Scheduler

SQL Login

Ce compte est requis pour gérer des tâches en arrière-plan au sein d'une instance Devolutions Server, comme le service de planification, et se voit attribuer les moindres privilèges lors de l'installation de l'instance.

Le service Windows s'exécute en tant que compte Windows Local Service utilisant le SQL Login dans une chaîne de connexion SQL stockée.

  • Cela nécessite l'autorisation Log on as a batch job dans la Stratégie de sécurité locale (secpol.msc) – Politiques localesAttribution des droits utilisateur.

    S'assurer de désactiver tout objet stratégie de groupe qui pourrait réécrire cette configuration.

DVLS_ADAuth

Active Directory

Un compte optionnel qui est seulement requis si l'authentification Windows est activée pour une instance Devolutions Server. Une fois installé, configurer les méthodes d'authentification disponibles dans l'interface web sous Administration Configuration Paramètres du serveur Authentification.

  • Une autorisation de lecture seule dans l'unité organisationnelle (OU) donnée au sein d'Active Directory, où les utilisateurs de Devolutions Server sont stockés.

Comptes SQL Linux

Devolutions Server pour Linux (Bêta) ne requiert pas le même nombre de comptes qu'une instance Windows. Il fonctionne comme une application Kestrel avec un planificateur autonome. Par conséquent, un seul utilisateur Linux est requis pour exécuter une instance Devolutions Server.

Il est recommandé d'utiliser des comptes distincts pour les différents rôles.

COMPTE

TYPE

OBJECTIF

EXIGENCES

DVLS_Owner

Utilisateur Linux

Un compte doté de droits sudo est requis pour exécuter les scripts d'installation d'une instance Devolutions Server.

DVLS_Runner

Utilisateur Linux

Le compte Linux est assigné à l'instance Devolutions Server en cours d'exécution contrôlée par un fichier d'unité SystemD.

DVLS_ADAuth

Active Directory

Un compte optionnel qui est seulement requis si l'authentification Windows est activée pour une instance Devolutions Server. Une fois installé, configurer les méthodes d'authentification disponibles dans l'interface web sous Administration Configuration Paramètres du serveur Authentification.

  • Une autorisation de lecture seule dans l'unité organisationnelle (OU) donnée au sein d'Active Directory, où les utilisateurs de Devolutions Server sont stockés.

Devolutions Forum logo Donnez-nous vos commentaires