Installation

Ce document vous guidera à travers le processus d'installation de Specops Password Policy.

Composants clés

Specops Password Policy flow

Specops Password Policy se compose des composants suivants et ne nécessite aucun serveur ou ressource supplémentaire dans votre environnement.

Outils d'administration de Specops Password Policy

Utilisé pour configurer les aspects centraux de la solution et permettre la création de Paramètres de Specops Password Policy dans les Objets de Stratégie de Groupe.

Sentinel de Specops Password Policy

Le Sentinel de Specops Password Policy est un package d'installation qui doit être installé sur tous les contrôleurs de domaine modifiables dans un domaine.

Le Sentinel de Specops se compose du Filtre de Mot de Passe Sentinel et du Service Sentinel.

Filtre de Mot de Passe Sentinel: Le Filtre de Mot de Passe Sentinel est un Filtre de Mot de Passe Windows qui vérifie si un nouveau mot de passe correspond aux paramètres de Specops Password Policy assignés à l'utilisateur.
Service Sentinel: Le Service Sentinel est toujours installé dans le cadre de Specops Password Policy, mais n'est effectif que si l'add-on de Protection des Mots de Passe Compromis est configuré.

Pour plus d'informations sur le Sentinel, veuillez vous référer à la page du Sentinel de Password Policy.

Client Specops

(anciennement connu sous le nom de Client de Mot de Passe Specops ou Client uReset) Affiche les règles de la politique de mot de passe lorsqu'un utilisateur ne respecte pas les critères de la politique lors de la modification de son mot de passe. Le Client notifie également les utilisateurs lorsque leurs mots de passe sont sur le point d'expirer.

Remarque

Le Client Specops est un composant optionnel.

Arbitre Specops: L'Arbitre Specops ne doit être installé que si vous utilisez l'add-on de Protection des Mots de Passe Compromis de Specops.

L'Arbitre Specops agit comme une passerelle entre le Service Sentinel et l'API Cloud de Protection des Mots de Passe Compromis de Specops, où se trouve la liste des mots de passe divulgués. L'Arbitre Specops utilise une clé API unique au client pour communiquer avec l'API Cloud de Protection des Mots de Passe Compromis.

Exigences

Composant	Exigence
Outils d'administration	Windows 10/11 ou Windows Server 2016/2019/2022 .Net Framework 4.7.2 ou version ultérieure Active Directory et module complémentaire Utilisateurs et Ordinateurs Console de Gestion des Stratégies de Groupe (GPMC) Windows Powershell 5.1
Sentinel de Specops Password Policy	Windows Server 2016/2019/2022 (expérience de base ou de bureau) .Net Framework 4.7.2 ou version ultérieure Contrôleur de domaine modifiable
Client Specops	Windows 10 x64, Windows 11 x64 ou Windows Server 2016/2019/2022 Secure Access non pris en charge sur les contrôleurs de domaine. .Net Framework 4.7.2 ou version ultérieure Pour les réinitialisations de mot de passe avec uReset 8, Secure Access et Specops Password Reset, le runtime Specops Cefsharp MSI doit être installé. Specops Secure Access nécessite le .Net 8 Desktop Runtime déployé sur les ordinateurs clients.
Arbitre Specops	Windows Server 2016/2019/2022 (expérience de base ou de bureau) .Net Framework 4.7.2 ou version ultérieure

Installation de Specops Password Policy

Pendant l'installation, Specops Password Policy lancera l'Assistant de Configuration. L'Assistant de Configuration vous aidera à installer les composants suivants pour Specops Password Policy:

Outils d'administration
Arbitre Specops
Sentinel
Client

Téléchargez l'Assistant de Configuration.
Enregistrez et exécutez l'Assistant de Configuration sur votre serveur.

Remarque

Par défaut, le fichier est extrait dans C:\temp\SpecopsPasswordPolicy_Setup_[VersionNumber]
Double-cliquez sur SpecopsPasswordPolicy.Setup.exe pour lancer l'Assistant de Configuration.
Pour commencer, cliquez sur Démarrer l'installation dans la boîte de dialogue de l'Assistant de Configuration Specops, et Acceptez le Contrat de Licence Utilisateur Final.

Installation des Outils d'administration

L'installation des Outils d'administration installera l'outil d'Administration de Domaine et le module complémentaire GPMC, ainsi que le module PowerShell. Vous pouvez utiliser l'outil d'Administration de Domaine pour gérer les configurations qui s'appliquent à l'ensemble de votre domaine, y compris vos informations de licence, modèles, et installations de Sentinel de Password Policy. Vous pouvez utiliser le module complémentaire GPMC pour configurer les politiques de mot de passe dans un Objet de Stratégie de Groupe (GPO). Le GPO peut ensuite être appliqué à l'ensemble de votre domaine ou à une partie de votre domaine.

Les Outils d'administration doivent être installés sur l'ordinateur à partir duquel vous souhaitez administrer le produit.

Remarque

Cette machine nécessite un accès Internet pour télécharger les dictionnaires en ligne.

Dans le menu principal, sélectionnez Outils d'administration.

Remarque

L'installateur indiquera si les prérequis d'installation sont remplis avec une coche verte devant les prérequis. Si l'un d'eux affiche une croix rouge, veuillez installer ou mettre à jour ce composant dans votre système.
Si vous souhaitez que Specops Password Policy enregistre l'Extension de Menu Utilisateurs et Ordinateurs Active Directory de Specops, cliquez sur Étendre le menu.

Remarque

Cela permettra à Specops d'ajouter les Spécificateurs d'Affichage Specops dans la partition de configuration de votre forêt Active Directory, vous permettant d'administrer le produit directement à partir du menu contextuel des objets Active Directory. Pour ajouter l'extension de menu à Active Directory, l'utilisateur exécutant l'Assistant de Configuration doit être un Administrateur d'Entreprise.
Cliquez sur Installer.
Dans la boîte de dialogue Installation réussie, cliquez sur OK.

Pour des informations sur la configuration des politiques, veuillez vous référer à la documentation d'administration.

Installation de l'Arbitre Specops

Remarque

L'Arbitre Specops est installé pour être utilisé avec l'add-on de Protection des Mots de Passe Compromis de Specops, ainsi que pour permettre l'envoi d'emails via l'Arbitre.

Dans le menu principal, sélectionnez Arbitre Specops.
Si l'un des prérequis n'est pas rempli, veuillez mettre à jour ou installer les éléments requis.
Cliquez sur Installer.
Dans la boîte de dialogue Installation réussie, cliquez sur OK.

Installation du Sentinel

Le Sentinel est un filtre de mot de passe sur les contrôleurs de domaine qui vérifie si le nouveau mot de passe correspond aux paramètres de Specops Password Policy assignés à l'utilisateur. Vous devez installer le Sentinel sur tous les contrôleurs de domaine modifiables de votre domaine. Tous les Contrôleurs de Domaine doivent avoir la même version du Sentinel.

Dans le menu principal, sélectionnez Sentinel du Contrôleur de Domaine.
Pour installer le Sentinel sur tous les contrôleurs de domaine modifiables de votre domaine, vous pouvez:

Option: Créer un partage réseau sur l'ordinateur local et copier le package msi du sentinel sur le nouveau partage réseau
1. Cliquez sur Créer un Partage.
2. Sélectionnez un chemin local pour créer le partage, et cliquez sur OK.
3. Cliquez sur Sélectionner le partage.
4. Vérifiez que le chemin réseau vers le partage réseau que vous avez créé est correct, et cliquez sur OK.
Option: Sélectionner un partage réseau existant et copier manuellement le package msi sur le partage réseau existant
1. Cliquez sur Sélectionner le Partage.
2. Parcourez l'emplacement du package msi, et cliquez sur OK.
  
  Remarque
  
  Le chemin d'extraction par défaut de l'installateur est: C:\temp\SpecopsPassword_Setup_[VersionNumber]\
Sélectionnez les contrôleurs de domaine sur lesquels vous souhaitez installer le Sentinel, et cliquez sur Installer.

Remarque

Vous devez atteindre les contrôleurs de domaine distants via la Connexion de Protocole à Distance (RPC).
Vérifiez que l'état du Sentinel pour les contrôleurs de domaine sélectionnés est passé à "Installé".

Remarque

Si l'état du Sentinel pour les contrôleurs de domaine sélectionnés est passé à installé, mais que l'icône à côté du composant n'a pas changé, vous pouvez continuer à l'étape suivante.

Post-installation: Vous devez redémarrer vos contrôleurs de domaine une fois que vous avez installé le Sentinel.

Installation du Client

Le Client Specops est installé avec un installateur basé sur MSI. Notez que la mise à niveau du Client Specops écrasera le Client installé.

Si installé, le Client Specops peut être trouvé dans "Ajouter/Supprimer des Programmes" ou "Programmes et Fonctionnalités" depuis le Panneau de Configuration Windows. Les versions et les éditions peuvent varier.

Remarque

Les anciennes versions du Client Specops peuvent être identifiées comme "Specops uReset Client" ou "Specops Password Client".

Le Client Specops peut être utilisé avec les produits logiciels suivants de Specops:

Specops Password Reset
Specops Password Policy
Specops uReset

Mise à niveau du Client Specops

Les organisations utilisant Specops Password Policy uniquement, doivent déployer le MSI du Client Specops. Le Runtime CefSharp MSI n'est pas requis pour ce scénario.

Les organisations utilisant Specops uReset ou Specops Password Reset, doivent déployer le Runtime CefSharp MSI en plus du MSI du Client Specops. Le Runtime CefSharp MSI est requis par le Navigateur Sécurisé utilisé pour réinitialiser les mots de passe.

Étant donné que le Client Specops utilise une version spécifique du Runtime CefSharp MSI, il est important de déployer la dernière version du Runtime CefSharp MSI en même temps ou avant de déployer le MSI du Client Specops.

Bien que le MSI du Client Specops ne puisse être installé qu'avec exactement 1 version, plusieurs versions du Runtime CefSharp MSI peuvent être installées en même temps. Le but est de simplifier le déploiement dans une grande organisation.

Le flux recommandé pour la mise à niveau du Client Specops est:

Déployez la dernière version du Runtime CefSharp MSI, si elle n'est pas déjà déployée
Déployez la dernière version du MSI du Client Specops
Retirez toute version précédente du Runtime CefSharp MSI, si nécessaire
Téléchargez et mettez à jour les modèles administratifs (ADMX) pour avoir la dernière version en place. Dans la plupart des cas, aucun changement de configuration n'est nécessaire, sauf indication contraire dans les notes de version. Voir la section ci-dessous sur la configuration du Client Specops.

Remarque

Lors de l'utilisation du Client Specops en conjonction avec un outil de réinitialisation de mot de passe:

La dernière version du runtime du navigateur CefSharp est requise si Specops uReset/Specops Password Reset est utilisé (les clients de Specops Password Policy uniquement n'ont pas besoin du runtime du navigateur CefSharp). Il est recommandé de déployer le runtime du navigateur CefSharp avant le Client Specops lui-même.

Le comportement d'installation/mise à niveau pour le runtime du navigateur CefSharp a été modifié. L'installation d'un runtime CefSharp plus récent ne remplacera plus le runtime installé plus ancien. Au lieu de cela, plusieurs versions du navigateur CefSharp peuvent coexister. L'intention est de pouvoir effectuer un déploiement dans une organisation, où le nouveau navigateur CefSharp est d'abord déployé. Une fois déployé, le Client Specops peut être mis à niveau. Cela facilitera la vérification que le Client Specops fonctionne sur tous les ordinateurs lors d'une mise à niveau, que le dernier runtime du navigateur CefSharp ait été déployé ou non.

Le Client Specops doit être installé sur les ordinateurs clients de l'organisation, soit en installant manuellement, soit en déployant à l'aide d'un outil de déploiement.

Téléchargement du Client Specops

Téléchargez le MSI directement depuis la page de téléchargement. Les utilisateurs installant Specops Password Policy peuvent également accéder à la page de téléchargement via la section Télécharger les fichiers d'installation du Client de l'installateur de Password Policy.

Déploiement du Client Specops

Pour déployer le Client Specops à tous les utilisateurs, utilisez GPSI, Specops Deploy/App, ou tout autre outil de déploiement. Le Client Specops prend en charge l'installation silencieuse lors du déploiement à l'aide d'un outil de déploiement. Le MSI du client peut être déployé silencieusement en utilisant les commutateurs MSI standards (par exemple /qn). Il n'y a pas de paramètres de ligne de commande Specops pour l'installation MSI.

Installation ou mise à niveau manuelle du Client Specops

Ouvrez l'assistant de configuration du Client Specops que vous venez de télécharger (fichier .msi)
Dans l'assistant, cliquez sur Suivant.
Acceptez le Contrat de Licence en cochant la case, et cliquez sur Suivant.
Sélectionnez l'emplacement où le Client doit être installé (le chemin par défaut est C:\Program Files\Specopssoft\Specops Client\), puis cliquez sur Suivant.
Cliquez sur Installer.
Une fois l'installation terminée, cliquez sur Terminer.

Configuration du Client Specops

Le Client Specops peut être configuré à l'aide du modèle administratif dans la Console de Gestion des Stratégies de Groupe. Pour plus d'informations sur sa configuration, veuillez vous référer à la page du Client Specops.

Post-Installation

Veuillez compléter les tâches suivantes après avoir installé Specops Password Policy:

Redémarrez vos contrôleurs de domaine si vous ne l'avez pas déjà fait.
Ouvrez l'application Administration de Domaine de Password Policy (située dans Démarrer > Specops Software > Administration de Domaine de Password Policy)
Cliquez sur Importer le fichier de licence....
Parcourez l'emplacement où votre fichier de licence est stocké, sélectionnez le fichier et cliquez sur Ouvrir.
Si vous utilisez Specops Password Policy avec l'add-on de Protection des Mots de Passe Compromis, vous devrez également enregistrer le(s) Arbitre(s) depuis l'outil d'Administration de Domaine:
1. Depuis l'outil d'Administration de Domaine, sélectionnez Protection des Mots de Passe Compromis, et cliquez sur Enregistrer un nouvel Arbitre.
2. Sélectionnez ou tapez le nom de votre ordinateur Arbitre, et cliquez sur OK. L'ordinateur Arbitre est maintenant ajouté au tableau contenant tous les Arbitres de Mot de Passe Specops.
  
  Remarque
  
  Vous pouvez également rechercher votre ordinateur Arbitre en cliquant sur le bouton Avancé puis sur Rechercher maintenant.
3. Cliquez sur le bouton Importer la clé API et collez la clé API que vous avez reçue de Specops dans le champ de texte qui s'affiche. Cliquez sur OK. Une coche verte devrait apparaître dans la colonne Clé API du tableau.
  
  Remarque
  
  Collez uniquement la clé API réelle dans le champ de texte, en excluant tout commentaire qui pourrait être présent.
4. Cliquez sur Tester la connexion au cloud pour tester la connexion.
  
  Remarque
  
  Vous recevrez une erreur vous demandant d'entrer une clé de licence valide une fois l'installation terminée.
Vérifiez que les Objets de Stratégie de Groupe appropriés sont liés aux UO contenant les utilisateurs gérés corrects.
Configurez votre politique de mot de passe de domaine intégrée aux paramètres les plus bas que vous souhaitez utiliser dans vos Politiques de Mot de Passe Specops.

Remarque

Cela permettra au Client d'afficher les règles de Specops Password Policy lorsqu'un utilisateur ne respecte pas les critères de la politique lors de la modification de son mot de passe. Si vous ne configurez pas votre politique de mot de passe de domaine intégrée au paramètre le plus bas, les règles de la politique de mot de passe intégrée apparaîtront.

Ensuite, configurez vos politiques de mot de passe comme décrit dans la section Administration.