Avant le déploiement d'une instance de Devolutions Server, certains comptes sont nécessaires pour faire fonctionner les divers services impliqués dans un déploiement sécurisé de Devolutions Server. La première décision est d'utiliser soit des comptes de domaine pour faire fonctionner la plateforme, soit d'utiliser des comptes SQL locaux associés à des comptes de service locaux. Puisque cette décision est une question de préférence personnelle, nous soutenons les deux modèles.
Avant de procéder, prendre en compte les éléments suivants :
- Les noms utilisés dans ce guide visent à faciliter la compréhension du rôle rempli par le compte. Notre documentation utilise également ces noms, mais il n'est pas obligatoire de les utiliser.
- Les comptes suivants interagissant avec la base de données SQL se verront accorder les permissions de moindre privilège à partir de scripts qui s'exécuteront lors de la création et de la mise à niveau de l'instance de Devolutions Server.
Fonctionnement basé sur le domaine (option de sécurité intégrée)
Les informations d'identification d'administration nécessitent des autorisations de lecture complètes sur la structure AD, mais ne modifient PAS votre répertoire. Malheureusement, en raison d'un effet secondaire de la façon dont les services de répertoire net sont construits, il y a un problème lorsque ce compte tente de lire les propriétés des groupes AD qui peuvent résider dans une zone protégée de votre répertoire. La solution la plus simple était d'accorder des autorisations d'administrateur complet, mais nous cherchons à mettre en œuvre une meilleure stratégie de repli pour gérer le cas où l'accès est refusé. Cela peut nécessiter des privilèges plus élevés que de faire partie du groupe intégré des utilisateurs de domaine dans Active Directory. Dans la plupart des cas, cela devrait être suffisant.
# | Nom | ORIGINE | DESCRIPTION | DÉFINI DANS... |
---|---|---|---|---|
1 | VaultDBOwner | AD |
| Session Windows interactive utilisée pour exécuter l'installation/la mise à niveau d'une instance de Devolutions Server. Ce compte doit être un administrateur local de la machine hôte de Devolutions Server. |
2 | VaultDBRunner | AD |
| Pools d'applications IIS exécutant une instance de Devolutions Server. |
3 | VaultADReader | AD |
| Paramètres de l'instance de Devolutions Server - Informations d'identification d'administration. |
4 | VaultDBSchedulerService | AD |
| Gestionnaire de contrôle des services Windows. |
Fonctionnement non basé sur le domaine ou environnement Azure SQL
Dans un déploiement non basé sur le domaine, une seule chaîne de connexion est utilisée pour trois aspects différents du système. Cela sera amélioré dans une future version pour respecter le principe de moindre privilège.
Pour la base de données hébergée sur Azure SQL, le fonctionnement basé sur le domaine (option de sécurité intégrée) n'est pas pris en charge.
# | NOM | ORIGINE | DESCRIPTION | DÉFINI DANS... |
---|---|---|---|---|
1 | VaultDBOwner | SQL |
| La console Devolutions Server uniquement pour les sessions d'installation/mise à niveau. |
2 | VaultDBRunner | SQL |
| La console Devolutions Server pour les opérations de l'instance. |
3 | VaultADReader | AD |
| Paramètres de l'instance de Devolutions Server - Informations d'identification d'administration. |
4 | VaultDBSchedulerService | SQL |
| Console Devolutions Server – Service de planification. L'accès à la base de données sera effectué par la seule ConnectionString qui fait l'objet de la note d'information ci-dessus. |