Enquête sur les comptes avant déploiement

Avant le déploiement d'une instance de Devolutions Server, certains comptes sont nécessaires pour faire fonctionner les divers services impliqués dans un déploiement sécurisé de Devolutions Server. La première décision est d'utiliser soit des comptes de domaine pour faire fonctionner la plateforme, soit d'utiliser des comptes SQL locaux associés à des comptes de service locaux. Puisque cette décision est une question de préférence personnelle, nous soutenons les deux modèles.

Avant de procéder, prendre en compte les éléments suivants :

  • Les noms utilisés dans ce guide visent à faciliter la compréhension du rôle rempli par le compte. Notre documentation utilise également ces noms, mais il n'est pas obligatoire de les utiliser.
  • Les comptes suivants interagissant avec la base de données SQL se verront accorder les permissions de moindre privilège à partir de scripts qui s'exécuteront lors de la création et de la mise à niveau de l'instance de Devolutions Server.

Fonctionnement basé sur le domaine (option de sécurité intégrée)

Les informations d'identification d'administration nécessitent des autorisations de lecture complètes sur la structure AD, mais ne modifient PAS votre répertoire. Malheureusement, en raison d'un effet secondaire de la façon dont les services de répertoire net sont construits, il y a un problème lorsque ce compte tente de lire les propriétés des groupes AD qui peuvent résider dans une zone protégée de votre répertoire. La solution la plus simple était d'accorder des autorisations d'administrateur complet, mais nous cherchons à mettre en œuvre une meilleure stratégie de repli pour gérer le cas où l'accès est refusé. Cela peut nécessiter des privilèges plus élevés que de faire partie du groupe intégré des utilisateurs de domaine dans Active Directory. Dans la plupart des cas, cela devrait être suffisant.

 

#

Nom

ORIGINE

DESCRIPTION

DÉFINI DANS...

1

VaultDBOwner

AD

  • Compte avec des privilèges complets sur la base de données.

  • Compte utilisé pour se connecter au serveur Windows (en tant qu'administrateur local) et pour installer/mettre à niveau Devolutions Server.

  • Il a besoin du droit de créateur de base de données et de l'autorisation de modifier toute connexion sécurisée dans SQL.

Session Windows interactive utilisée pour exécuter l'installation/la mise à niveau d'une instance de Devolutions Server. Ce compte doit être un administrateur local de la machine hôte de Devolutions Server.

2

VaultDBRunner

AD

  • Compte de moindre privilège pour exécuter l'application web. Utilisé pour se connecter à la base de données et lire à partir du système de fichiers.

  • Compte utilisé par le pool d'applications IIS.

  • Pas besoin d'autorisation spécifique puisque le script d'installation de Devolutions Server donnera au compte l'autorisation nécessaire sur la base de données SQL.

Pools d'applications IIS exécutant une instance de Devolutions Server.

3

VaultADReader

AD

  • Compte de moindre privilège pour interroger l'AD.

  • (Optionnel) Compte configuré dans le Devolutions Server pour utiliser l'authentification de domaine.

Paramètres de l'instance de Devolutions Server - Informations d'identification d'administration.

4

VaultDBSchedulerService

AD

  • Compte de moindre privilège pour faire fonctionner le service de planification. Utilisé pour se connecter à la base de données et lire/écrire à partir du système de fichiers.

  • Compte utilisé par le service Windows. Cliquez ici pour plus d'informations.

  • Pas besoin d'autorisation spécifique puisque le script d'installation de Devolutions Server donnera au compte l'autorisation nécessaire sur la base de données SQL.

Gestionnaire de contrôle des services Windows.

Fonctionnement non basé sur le domaine ou environnement Azure SQL

Dans un déploiement non basé sur le domaine, une seule chaîne de connexion est utilisée pour trois aspects différents du système. Cela sera amélioré dans une future version pour respecter le principe de moindre privilège.

Pour la base de données hébergée sur Azure SQL, le fonctionnement basé sur le domaine (option de sécurité intégrée) n'est pas pris en charge.

 

#

NOM

ORIGINE

DESCRIPTION

DÉFINI DANS...

1

VaultDBOwner

SQL

  • Compte avec des privilèges complets sur la base de données.

  • Il a besoin du droit de créateur de base de données et de l'autorisation de modifier toute connexion sécurisée dans SQL.

La console Devolutions Server uniquement pour les sessions d'installation/mise à niveau.

2

VaultDBRunner

SQL

  • Compte de moindre privilège pour exécuter l'application web.

  • Pas besoin d'autorisation spécifique puisque le script d'installation de Devolutions Server donnera au compte l'autorisation nécessaire sur la base de données SQL.

La console Devolutions Server pour les opérations de l'instance.

3

VaultADReader

AD

  • Compte de moindre privilège pour interroger l'AD via LDAP.

  • (Optionnel) Compte configuré dans le Devolutions Server pour utiliser l'authentification de domaine.

Paramètres de l'instance de Devolutions Server - Informations d'identification d'administration.

4

VaultDBSchedulerService

SQL

  • Compte de moindre privilège pour faire fonctionner le service de planification. Utilisé pour lire/écrire à partir du système de fichiers.

  • Pas besoin d'autorisation spécifique puisque le script d'installation de Devolutions Server donnera au compte l'autorisation nécessaire sur la base de données SQL.

Console Devolutions Server – Service de planification. L'accès à la base de données sera effectué par la seule ConnectionString qui fait l'objet de la note d'information ci-dessus.

Devolutions Forum logo Donnez-nous vos commentaires