Installation

Ce document vous guidera tout au long du processus d’installation de Specops Password Policy.

Principaux composants


Flux de Specops Password Policy

Specops Password Policy inclut les composants suivants et ne nécessite aucun serveur ni ressource supplémentaires dans votre environnement.

Specops Password Policy Outils d’administration

Utilisés pour configurer les aspects centraux de la solution et permettre la création de paramètres pour Specops Password Policy dans les objets de stratégie de groupe.

Specops Password Policy Sentinel

The Specops Password Policy Sentinel is an installation package that must be installed on all writable domain controllers in a domain.

The Specops Sentinel consists of the Sentinel Password Filter, and the Sentinel Service.

  • Sentinel Password Filter: The Sentinel Password Filter is a Windows Password Filter that verifies whether a new password matches the Specops Password Policy settings assigned to the user.
  • Sentinel Service: The Sentinel Service is always installed as part of the Specops Password Policy, but effective only if the Breached Password Protection add-on is configured.

Pour plus d’informations concernant Sentinel, veuillez consulter la page Password Policy Sentinel.

Specops Authentication Client

(anciennement connu sous le nom de Specops Password Client ou de uReset Client) affiche les règles de stratégie de mots de passe lorsqu’un utilisateur ne satisfait pas aux critères de stratégie lors du changement de son mot de passe. Le Client informe également les utilisateurs lorsque leurs mots de passe sont sur le point d’expirer.

REMARQUE
Le Client Specops est un composant facultatif.

Specops Arbiter: Specops Arbiter ne doit être installé que si vous utilisez le module complémentaire Specops Breached Password Protection.

Specops Arbiter agit en tant que passerelle entre le Service Sentinel et l’API de Cloud Specops Breached Password Protection, où se trouve la liste des mots de passe divulgués. Specops Arbiter utilise une clé d’API client unique pour communiquer avec l’API de Cloud Breached Password Protection.

Configuration requise


Configuration requise
Composant Exigence
Outils d’administration
  • Windows 10/11 ou Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
  • Composant logiciel enfichable Active Directory et Utilisateurs et ordinateurs
  • Console de gestion des stratégies de groupe (GPMC)
  • Windows Powershell 5.1
Specops Password Policy Sentinel
  • Windows Server 2016/2019/2022 (Core ou Desktop Experience)
  • .Net Framework 4.7.2 or later
  • Contrôleur de domaine accessible en écriture
Specops Authentication Client
  • Windows 10 x64, Windows 11 x64 or Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
  • For password resets with uReset 8 and Specops Password Reset, the Specops Cefsharp runtime MSI should be installed.
Specops Arbiter
  • Windows Server 2016/2019/2022 (Core ou Desktop Experience)
  • .Net Framework 4.7.2 or later

Installation de Specops Password Policy


Installation de Specops Password Policy

Lors de l'installation, Specops Password Policy lancera l'assistant de configuration. L'assistant de configuration aidera à installer les composants suivants pour Specops Password Policy :

  • Outils d’administration
  • Specops Arbiter
  • Sentinel
  • Client
  1. Téléchargez l'assistant de configuration.
  2. Enregistrez et exécutez l’assistant de configuration sur votre serveur.
    REMARQUE
    Par défaut, le fichier est extrait vers C:\temp\SpecopsPasswordPolicy_Setup_[VersionNumber]
  3. Effectuez un double clic sur SpecopsPasswordPolicy.Setup.exe pour lancer l’assistant de configuration.
  4. Pour commencer, cliquez sur Lancer l'installation dans la boîte de dialogue de l'assistant de configuration Specops et acceptez le Contrat de licence Utilisateur final.

Installation des outils d’administration

L’installation des outils d’administration installera l’outil d’administration de domaine et le composant logiciel enfichable GPMC, ainsi que le module PowerShell. Vous pouvez utiliser l’outil d’administration de domaine pour gérer les configurations qui s’appliquent à l’ensemble de votre domaine, notamment vos informations de licence, vos modèles et les installations de Password Policy Sentinel. Vous pouvez utiliser le composant logiciel enfichable GPMC pour configurer des stratégies de mots de passe dans un objet de stratégie de groupe (GPO). L’objet de stratégie de groupe peut alors être appliqué à l’ensemble de votre domaine ou à une partie de votre domaine.

Les outils d’administration doivent être installés sur l’ordinateur depuis lequel vous souhaitez administrer le produit.

REMARQUE
Cette machine nécessite un accès à Internet pour télécharger les dictionnaires en ligne.
  1. Dans le menu principal, sélectionnez Outils d’administration.
    REMARQUE
    Le programme d’installation indiquera si les conditions préalables à l’installation sont remplies par une coche verte devant les conditions préalables. Si certains affichent une croix rouge, veuillez installer ou mettre à jour ce composant sur votre système.
  2. Si vous souhaitez que Specops Password Policy enregistre l’extension de menu Specops Active Directory Users and Computers (ADUC), cliquez sur Ajouter une extension de menu.
    REMARQUE
    Ceci permettra à Specops d’ajouter les spécificateurs d’affichage Specops dans la partition de configuration de votre forêt Active Directory, vous permettant d’administrer le produit directement à partir du menu contextuel des objets Active Directory. Afin d’ajouter l’extension de menu à Active Directory, l’utilisateur exécutant l’assistant de configuration doit être un administrateur d’entreprise.
  3. Cliquez sur Installer.
  4. Dans la boîte de dialogue Installation réussie, cliquez sur OK.

Pour plus d’informations sur la configuration des stratégies, veuillez consulter la documentation d’administration

Installation de Specops Arbiter

REMARQUE
Specops Arbiter est installé pour être utilisé avec le module complémentaire Specops Breached Password Protection, ainsi que pour permettre l’envoi d’e-mails via l’Arbiter.
  1. Dans le menu principal, sélectionnez Specops Arbiter.
  2. Si l’une des conditions préalables n’est pas remplie, veuillez mettre à jour ou installer les éléments requis.
  3. Cliquez sur Installer.
  4. Dans la boîte de dialogue Installation réussie, cliquez sur OK.

Installation de Sentinel

Sentinel est un filtre de mot de passe au niveau des contrôleurs de domaine qui vérifie si un nouveau mot de passe correspond aux paramètres de Specops Password Policy attribués à l'utilisateur. Vous devez installer Sentinel sur tous les contrôleurs de domaine accessibles en écriture de votre domaine. Tous les contrôleurs de domaine doivent disposer de la même version de Sentinel.

  1. Dans le menu principal, sélectionnez Domain Controller Sentinel.
  2. Pour installer Sentinel sur tous les contrôleurs de domaine accessibles en écriture de votre domaine vous pouvez :
    Option
    Créez un partage réseau sur l’ordinateur local et copiez le package msi Sentinel sur le nouveau partage réseau.

    1. Cliquez sur Créer un partage.
    2. Sélectionnez un chemin d’accès local pour lequel créer le partage, puis cliquez sur OK.
    3. Cliquez sur Sélectionner un partage.
    4. Vérifiez que le chemin d’accès réseau au partage réseau que vous avez créé est correct, puis cliquez sur OK.
    Option
    Sélectionnez un partage réseau existant et copiez manuellement le package msi sur le partage réseau existant

    1. Cliquez sur Sélectionner un partage.
    2. Accédez à l’emplacement du package msi, puis cliquez sur OK.
      REMARQUE
      Le chemin d’extraction par défaut du programme d’installation est : C:\temp\ SpecopsPassword _Setup _[VersionNumber]\
  3. Sélectionnez les contrôleurs de domaine sur lesquels vous souhaitez installer Sentinel, puis cliquez sur Installer.
    REMARQUE
    Vous devez atteindre les contrôleurs de domaine distants via une connexion de protocole à distance (RPC).
  4. Vérifiez que l’état de Sentinel pour les contrôleurs de domaine sélectionnés est passé à « Installé ».
    REMARQUE
    Si l’état Sentinel pour les contrôleurs de domaine sélectionnés est passé à installé, mais que l’icône du composant n’a pas changé, vous pouvez passer à l’étape suivante.

Après l’installation : Vous devez redémarrer vos contrôleurs de domaine après avoir installé Sentinel.

Installation du client

Specops Authentication Client est installé avec un programme d’installation basé sur MSI. Veuillez noter que la mise à niveau de Specops Authentication Client écrasera le client installé.

Si installé, Specops Authentication Client se trouve dans "Ajouter/Supprimer des programmes" ou "Programmes et fonctionnalités" dans le panneau de configuration de Windows. Les versions peuvent varier.

REMARQUE
Les anciennes versions de Specops Authentication Client peuvent être identifiées comme « Specops uReset Client » ou « Specops Password Client ».

Specops Authentication Client peut être utilisé avec les produits Specops Software suivants :

  • Specops Password Reset
  • Specops Password Policy
  • Specops uReset

Mise à niveau de Specops Authentication Client

Les organisations utilisant Specops Password Policy uniquement doivent déployer le MSI Specops Authentication Client. Le MSI d’exécution CefSharp n’est pas requis dans ce cas.

Les organisations utilisant Specops uReset ou Specops Password Reset, doivent déployer le MSI d’exécution CefSharp en plus du MSI Specops Authentication Client. Le MSI d’exécution CefSharp est requis par le navigateur sécurisé utilisé pour réinitialiser les mots de passe.

Étant donné que Specops Authentication Client utilise une version spécifique du MSI d’exécution CefSharp, il est important de déployer la dernière version en même temps ou avant de déployer le MSI Specops Authentication Client.

Bien que le MSI Specops Authentication Client ne puisse être installé qu’avec exactement 1 version, plusieurs versions du MSI d’exécution CefSharp peuvent être installées en même temps. Le but est de simplifier le déploiement dans une plus grande organisation.

Le flux recommandé pour la mise à niveau de Specops Authentication Client est comme suit :

  1. Déployer le dernier MSI d’exécution CefSharp, s’il n’a pas déjà été déployé.
  2. Déployer la dernière version du MSI Specops Authentication Client
  3. Annuler le déploiement de toutes les versions antérieures du MSI d’exécution CefSharp, si nécessaire
REMARQUE

Lors de l’utilisation de Specops Authentication Client avec un outil de réinitialisation de mot de passe :

La dernière version de l’environnement d’exécution du navigateur CefSharp requise si Specops uReset/Specops Password Reset est utilisé (seuls les clients de Specops Password Policy n’ont pas besoin de l’environnement d’exécution du navigateur CefSharp). Il est recommandé de déployer l’environnement d’exécution du navigateur CefSharp avant Specops Authentication Client lui-même.

Le comportement d’installation/mise à niveau pour l’environnement d’exécution du navigateur CefSharp a été modifié. L’installation d’un environnement d’exécution CefSharp plus récent ne remplacera plus l’environnement d’exécution installé plus ancien. Au lieu de cela, plusieurs versions du navigateur CefSharp peuvent coexister. L’objectif est de pouvoir effectuer un déploiement au sein d’une organisation où le nouveau navigateur CefSharp est d’abord déployé. Une fois déployé, Specops Authentication Client peut être mis à jour. Ceci permettra de s’assurer plus facilement que Specops Authentication Client fonctionne sur tous les ordinateurs lors d’une mise à niveau, que la dernière version de l’environnement d’exécution du navigateur CefSharp ait été déployée ou non.

Specops Authentication Client doit être installé sur les ordinateurs clients de l’organisation, soit en l’installant manuellement, soit en le déployant à l’aide d’un outil de déploiement.

Téléchargement de Specops Authentication Client

Téléchargez le MSI directement depuis la page de téléchargement. Les utilisateurs installant Specops Password Policy peuvent également accéder à la page de téléchargement via la section Télécharger les fichiers d’installation du client du programme d’installation de Password Policy.

Déploiement de Specops Authentication Client

Afin de déployer Specops Authentication Client pour tous les utilisateurs, veuillez utiliser GPSI, Specops Deploy/App, ou tout autre outil de déploiement. Specops Authentication Client prend en charge l’installation sans assistance lors du déploiement avec un outil de déploiement. Le client MSI peut être déployé silencieusement à l’aide de commutateurs MSI standard (par exemple, /qn). Il n’y a aucun paramètre de ligne de commande Specops pour l’installation MSI.

Installation ou mise à jour manuelle de Specops Authentication Client

  1. Ouvrez l’assistant de configuration de Specops Authentication Client que vous venez de télécharger (fichier .msi)
  2. Dans l’assistant, cliquez sur Suivant.
  3. Acceptez le contrat de licence en cochant la case et cliquez sur Suivant.
  4. Sélectionnez l’emplacement où le client doit être installé (le chemin par défaut est C:\Program Files\Specopssoft\Specops Authentication Client\), puis cliquez sur Suivant.
  5. Cliquez sur Installer.
  6. Une fois l’installation terminée, cliquez sur Terminer.

Configuration de Specops Authentication Client

Specops Authentication Client peut être configuré à l’aide du modèle d’administration dans la console de gestion des stratégies de groupe. Pour plus d’informations concernant sa configuration, veuillez consulter la page Specops Authentication Client.

Après l’installation


Veuillez effectuer les tâches suivantes après avoir installé Specops Password Policy :

  1. Redémarrez les contrôleurs de domaine si ce n’est pas déjà fait.
  2. Ouvrez l’application Password Policy Domain Administration (sous Démarrer > Specops Software > Administration de domaine de Password Policy)
  3. Cliquez sur Importer un fichier de licence....
  4. Accédez à l’emplacement de stockage de votre fichier de licence, sélectionnez le fichier et cliquez sur Ouvrir.
  5. Si vous utilisez Specops Password Policy avec le module complémentaire Breached Password Protection, vous devrez également enregistrer le ou les arbitres à partir de l’outil d’administration de domaine :
    1. Dans l’outil d’administration de domaine, sélectionnez Breached Password Protection, puis cliquez sur Enregistrer un nouveau Arbiter.
    2. Sélectionnez ou saisissez le nom de votre ordinateur Arbiter, puis cliquez sur OK. L’ordinateur Arbiter est alors ajouté à la table contenant tous les Arbiters Specops Password.
      REMARQUE
      Vous pouvez également rechercher votre ordinateur Arbiter en cliquant sur le bouton Avancé, puis sur Rechercher maintenant.
    3. Cliquez sur le bouton Importer la clé d’API et collez la clé d’API que vous avez reçue de Specops dans le champ de texte qui s'affiche. Cliquez sur OK. Une coche verte devrait s’afficher dans la colonne Clé d’API de la table.
      REMARQUE
      Collez uniquement la clé d’API réelle dans le champ de texte, à l’exclusion de tout commentaire pouvant être présent.
    4. Cliquez sur Tester la connexion au Cloud pour tester la connexion.
    5. REMARQUE
      Vous recevrez un message d’erreur vous invitant à saisir une clé de licence valide une fois l’installation terminée.
  6. Vérifiez que les objets de stratégie de groupe appropriés sont liés aux unités d’organisation contenant les utilisateurs gérés appropriés.
  7. Configurez votre stratégie de mots de passe de domaine intégrée sur les paramètres les plus bas que vous souhaitez utiliser dans Specops Password Policy.
    REMARQUE
    Ceci permettra au Client d’afficher les règles de Specops Password Policy lorsqu’un utilisateur ne satisfait pas aux critères de stratégie lors du changement de son mot de passe. Si vous ne configurez pas votre stratégie de mots de passe de domaine intégrée sur le paramètre le plus bas, les règles de stratégie de mots de passe intégrée s’afficheront.

Configurez ensuite vos stratégies de mot de passe comme décrit dans la section Administration.