Installation

Le contenu ci-dessous est destiné aux administrateurs informatiques et vous guidera tout au long du processus d'installation de Specops Password Reset.

Composants clés

Texte alternatif pour cette image

Specops Password Reset se compose des composants suivants et ne nécessite aucun serveur ou ressource supplémentaire dans votre environnement. La vue d'ensemble architecturale ci-dessus montre la communication entre les composants dans une installation typique. Notez que le serveur Password Reset et les composants Web Password Reset sont généralement installés sur le même serveur à l'intérieur du réseau.

Serveur: Gère toutes les opérations contre Active Directory, telles que le changement/réinitialisation des mots de passe, et répond aux demandes de l'application Web Specops Password.
Outils d'administration: Utilisés pour configurer les aspects centraux de la solution et permettre la création de paramètres Specops Password Reset dans les objets de stratégie de groupe.
Web: Affiche l'interface utilisateur finale du produit et communique avec le serveur Specops Password Reset pour vérifier les saisies des utilisateurs.
Client Specops (anciennement connu sous le nom de Specops Password Client): Le client Specops présente un lien vers l'application Web Specops Password Reset sur l'écran de connexion Windows, et présente des notifications à l'utilisateur final concernant les exigences d'inscription.

Exigences

L'environnement de votre organisation doit répondre aux exigences système suivantes:

Composant	Exigence
Serveur	Windows Server 2016/2019/2022 .Net Framework 4.7.2 ou ultérieur Windows Identity Foundation installé
Outils d'administration	Windows Server 2016/2019/2022 Active Directory et module d'ordinateurs Console de gestion des stratégies de groupe (GPMC) .Net Framework 4.7.2 ou ultérieur
Web	Windows Server 2016/2019/2022 .Net Framework 4.7.2 ou ultérieur IIS installé Certificat SSL de confiance pour tous les noms sous lesquels l'application Web sera présentée
Client Specops	Windows 10 x64, Windows 11 x64 ou Windows Server 2016/2019/2022 Secure Access non pris en charge sur les contrôleurs de domaine. .Net Framework 4.7.2 ou ultérieur Pour les réinitialisations de mot de passe avec uReset 8, Secure Access et Specops Password Reset, le runtime MSI Specops Cefsharp doit être installé. Specops Secure Access nécessite le .Net 8 Desktop Runtime déployé sur les ordinateurs clients.

Installation de Specops Password Reset

Pendant l'installation, Specops Password Reset lancera l'assistant de configuration. L'assistant de configuration vous aidera à installer les composants suivants pour Specops Password Reset:

Serveur
Outils d'administration
Web
Client Specops

Téléchargez l'assistant de configuration.
Enregistrez et exécutez l'assistant de configuration sur votre serveur.

Remarque

Par défaut, le fichier est extrait dans C:\temp\SpecopsPasswordReset_Setup_[VersionNumber]
Double-cliquez sur SpecopsPasswordReset.Setup.exe pour lancer l'assistant de configuration.
Pour commencer, cliquez sur Démarrer l'installation dans la boîte de dialogue Specops Setup Assistant, et Acceptez le contrat de licence de l'utilisateur final.

Installation du serveur Specops Password Reset

Le serveur Specops Password Reset effectue des opérations contre Active Directory et répond aux demandes de l'application Web Specops Password.

Depuis l'assistant de configuration, sélectionnez Serveur.
Vérifiez que vous avez rempli les prérequis. Si vous ne remplissez pas les prérequis, vous devrez peut-être faire ce qui suit:
Vérifiez que vous exécutez un système d'exploitation valide.
Windows Identity Foundation est installé.
Vérifiez que le compte utilisé pour exécuter l'assistant de configuration dispose des autorisations administratives locales.
Cliquez sur Sélectionner l'utilisateur.
Entrez le nom d'utilisateur et le mot de passe du compte utilisateur sous lequel le service s'exécutera, puis cliquez sur OK.

Remarque

Toutes les opérations effectuées par le composant serveur Specops Password Reset seront effectuées dans le contexte du compte de service sélectionné ici.
Cliquez sur Sélectionner pour identifier le niveau de gestion où les autorisations Active Directory sont créées. Cela est également utilisé pour suivre l'utilisation des licences.
Cliquez sur Sélectionner et cliquez sur Créer un certificat auto-signé. Le certificat auto-signé sera utilisé pour sécuriser les appels au service Specops Password Reset.

Remarque

Depuis la console de gestion Microsoft, renommez le certificat auto-signé avec un nom convivial afin qu'il puisse être facilement identifié lors d'une mise à niveau: Certificats > Personnel > clic droit et sélectionnez Propriétés > remplissez le champ Nom convivial, puis cliquez sur OK.
Cliquez sur Configurer pour configurer les notifications administratives utilisées pour envoyer un email à l'administrateur avec des notifications concernant la licence Specops Password Reset.
Dans le champ Paramètres de messagerie, entrez le nom du serveur SMTP.
Entrez le nom d'utilisateur SMTP et le mot de passe SMTP.

Remarque

Si aucun identifiant n'est spécifié, le serveur s'authentifiera en tant que compte de service sous lequel il s'exécute.
Cliquez sur OK.
Cliquez sur Configurer pour configurer les paramètres du message de vérification mobile. Cela générera un code de vérification SMS qui sera utilisé pour authentifier les utilisateurs qui demandent des réinitialisations de mot de passe via le helpdesk.
Dans le champ de texte De l'email, entrez l'adresse email qui sera utilisée pour envoyer le message de validation.
Configurez les paramètres À l'email, Objet, et Corps selon les spécifications de votre fournisseur de SMS.
Depuis la liste déroulante Insérer un code de remplacement, vous pouvez sélectionner les informations qui seront différentes pour chaque utilisateur.
Cliquez sur OK.
Cliquez sur Installer.

Installation du composant Web Specops Password Reset

Le composant Web Specops Password Reset présente l'interface utilisateur finale du produit et communique avec le serveur Specops Password Reset pour vérifier les saisies des utilisateurs. Pendant l'installation, vous aurez la possibilité d'inclure le service Web Specops Password Reset (accès mobile). Le composant d'accès mobile est utilisé pour permettre à l'application pour appareils mobiles Specops Password Reset de se connecter au serveur Specops Password Reset. L'installation Web Specops Password installera également l'outil de personnalisation Web Specops Password Reset qui peut être utilisé pour gérer les traductions linguistiques et le branding graphique du site Web.

Depuis l'assistant de configuration, sélectionnez Web.
Vérifiez que vous avez rempli les prérequis. Si vous ne remplissez pas les prérequis, vous devrez peut-être faire ce qui suit:
Vérifiez que vous exécutez un système d'exploitation valide.
Vérifiez que le compte utilisé pour exécuter l'assistant de configuration dispose des autorisations administratives locales.
Vérifiez qu'IIS est installé.
Configurez IIS pour Specops Password Reset.
Cliquez sur Sélectionner pour sélectionner le service serveur Specops Password Reset auquel vous souhaitez que le composant Web se connecte.
Entrez le nom du serveur et cliquez sur OK.
Cliquez sur Sélectionner pour identifier le site Web où le composant Web Specops Password Reset sera installé.
Remarque
- S'il y a plus d'un site Web en cours d'exécution sur votre IIS, vous pouvez sélectionner celui que vous souhaitez utiliser pour le composant Web Specops Password Reset.
- Si le composant Web est installé sur un serveur dans le réseau interne, et que vous souhaitez diriger vos clients de mot de passe internes pour utiliser le serveur Web que vous installez, l'option Mettre à jour les informations du point de connexion de service pendant l'installation doit rester cochée.
Cliquez sur OK.
Cliquez sur Sélectionner pour sélectionner le certificat que vous souhaitez utiliser pour le chiffrement SSL, puis cliquez sur OK.
Cliquez sur Installer.

Remarque

L'assistant de configuration Web Specops Password Reset apparaîtra. L'assistant vous permettra d'installer le composant mobile.
Dans l'assistant de configuration Web Specops Password Reset, cliquez sur Suivant.
Lisez et acceptez le contrat de licence, puis cliquez sur Suivant.
Sélectionnez la liste déroulante à côté de Service Web Password Reset (accès mobile), puis cliquez sur Sera installé sur le disque dur local.
Cliquez sur Suivant.
Cliquez sur Installer.

Installation du composant Web dans la DMZ

Si l'ordinateur est dans un groupe de travail, la méthode recommandée d'installation est l'interface utilisateur dans l'assistant de configuration:

Vérifiez que vous avez .Net 3.5 SP1 installé sur le serveur DMZ.
Ne sélectionnez pas Mettre à jour les informations du point de connexion de service pendant l'installation.

Remarque

Cette option ne sera pas visible si le serveur DMZ n'est pas joint au domaine.
Si le certificat est installé sur le serveur, vous pourrez sélectionner/voir le certificat dans l'assistant de configuration.

Remarque

Si vous ne pouvez pas sélectionner/voir le certificat, continuez avec l'assistant de configuration et sélectionnez le certificat SSL dans le gestionnaire IIS/site Web par défaut/liaisons/https/Modifier/.
La zone DMZ qui héberge vos enregistrements DNS publics devra être mise à jour avec un enregistrement fournissant un nom de site plus facile à retenir pour les utilisateurs finaux.
Vérifiez que le port 4371 de votre pare-feu est ouvert vers le serveur Specops Password Reset interne.

Si l'ordinateur dans la DMZ est membre d'un domaine Active Directory séparé pour la DMZ, la méthode recommandée d'installation est d'installer le MSI en utilisant une ligne de commande:

Les paramètres suivants sont utilisés dans le script de ligne de commande:

IISPARENTWEBSITE: Nom du site Web parent, par ex. "Site Web par défaut"
REMOTINGSERVER: Nom du serveur SPR, qui doit être accessible depuis la DMZ
IISTHUMBPRINT: Certificat TLS

MSIEXEC /i SpecopsPasswordResetWeb-x64.msi
  ALLUSERS=1 IISPARENTWEBSITE="Default Web Site"
  REMOTINGSERVER=spr.acme.org REMOTINGPORT=4371
  SERVERINDMZ=1 IISTHUMBPRINT="‎" IISAPPLICATIONNAME=SpecopsPassword
  IISAPPLICATIONPOOLNAME=SpecopsPassword IISHASSILVERLIGHTPAGES=false
  IISUSEWCF=false IISENABLESSL=true IISENABLEANONYMOUSAUTHENTICATION=true
  IISSECUREFOLDERS="Enrollment,Helpdesk"

Installer les outils d'administration

L'installation des outils d'administration installera l'outil de configuration Specops Password Reset et le module GPMC. Vous pouvez utiliser l'outil de configuration pour gérer les configurations qui s'appliquent à l'ensemble de votre domaine. Vous pouvez utiliser le module GPMC pour configurer les politiques Specops Password Reset dans un objet de stratégie de groupe. Le GPO peut ensuite être appliqué à l'ensemble de votre domaine ou à une partie de votre domaine.

Les outils d'administration doivent être installés sur l'ordinateur à partir duquel vous souhaitez administrer le produit.

Depuis l'assistant de configuration, sélectionnez Outils d'administration.
Cliquez sur Ajouter une extension de menu pour enregistrer les spécificateurs d'affichage Specops dans la partition de configuration de votre forêt Active Directory.
Cliquez sur Installer.

Installation du client Specops

Le client Specops est installé avec un installateur basé sur MSI. Notez que la mise à niveau du client Specops écrasera le client installé.

Si installé, le client Specops peut être trouvé dans "Ajouter/Supprimer des programmes" ou "Programmes et fonctionnalités" depuis le panneau de configuration Windows. Les versions et les éditions peuvent varier.

Remarque

Les anciennes versions du client Specops peuvent être identifiées comme "Specops uReset Client" ou "Specops Password Client".

Le client Specops peut être utilisé avec les produits logiciels Specops suivants:

Specops Password Reset
Specops Password Policy
Specops uReset

Mise à niveau du client Specops

Les organisations utilisant uniquement Specops Password Policy doivent déployer le MSI du client Specops. Le runtime MSI CefSharp n'est pas requis pour ce scénario.

Les organisations utilisant Specops uReset ou Specops Password Reset doivent déployer le runtime MSI CefSharp en plus du MSI du client Specops. Le runtime MSI CefSharp est requis par le navigateur sécurisé utilisé pour réinitialiser les mots de passe.

Étant donné que le client Specops utilise une version spécifique du runtime MSI CefSharp, il est important de déployer le dernier runtime MSI CefSharp en même temps ou avant de déployer le MSI du client Specops.

Bien que le MSI du client Specops ne puisse être installé qu'avec exactement 1 version, plusieurs versions du runtime MSI CefSharp peuvent être installées en même temps. Le but est de simplifier le déploiement dans une organisation plus grande.

Le flux recommandé pour la mise à niveau du client Specops est:

Déployez le dernier runtime MSI CefSharp, s'il n'est pas déjà déployé
Déployez le dernier MSI du client Specops
Désinstallez toutes les versions précédentes du runtime MSI CefSharp, si nécessaire
Téléchargez et mettez à jour les modèles administratifs (ADMX) pour avoir la dernière version en place. Dans la plupart des cas, aucun changement de configuration n'est nécessaire, sauf indication contraire dans les notes de version. Voir la section ci-dessous sur la configuration du client Specops.

Remarque

Lors de l'utilisation du client Specops en conjonction avec un outil de réinitialisation de mot de passe:

La dernière version du runtime du navigateur CefSharp est requise si Specops uReset/Specops Password Reset est utilisé (les clients de Specops Password Policy uniquement n'ont pas besoin du runtime du navigateur CefSharp). Il est recommandé de déployer le runtime du navigateur CefSharp avant le client Specops lui-même.

Le comportement d'installation/mise à niveau pour le runtime du navigateur CefSharp a été modifié. L'installation d'un runtime CefSharp plus récent ne remplacera plus l'ancien runtime installé. Au lieu de cela, plusieurs versions du navigateur CefSharp peuvent coexister. L'intention est de pouvoir effectuer un déploiement dans une organisation, où le nouveau navigateur CefSharp est d'abord déployé. Une fois déployé, le client Specops peut être mis à niveau. Cela facilitera la garantie que le client Specops fonctionne sur tous les ordinateurs lors d'une mise à niveau, que le dernier runtime du navigateur CefSharp ait été déployé ou non.

Le client Specops doit être installé sur les ordinateurs clients de l'organisation, soit en l'installant manuellement, soit en le déployant à l'aide d'un outil de déploiement.

Téléchargement du client Specops

Téléchargez le MSI directement depuis la page de téléchargement. Les utilisateurs installant Specops Password Policy peuvent également accéder à la page de téléchargement via la section Télécharger les fichiers d'installation du client de l'installateur Password Policy.

Déploiement du client Specops

Pour déployer le client Specops à tous les utilisateurs, utilisez GPSI, Specops Deploy/App, ou tout autre outil de déploiement. Le client Specops prend en charge l'installation silencieuse lors du déploiement à l'aide d'un outil de déploiement. Le MSI du client peut être déployé silencieusement en utilisant les commutateurs MSI standard (par exemple, /qn). Il n'y a pas de paramètres de ligne de commande Specops pour l'installation MSI.

Installation ou mise à niveau manuelle du client Specops

Ouvrez l'assistant de configuration du client Specops que vous venez de télécharger (fichier .msi)
Dans l'assistant, cliquez sur Suivant.
Acceptez le contrat de licence en cochant la case, puis cliquez sur Suivant.
Sélectionnez l'emplacement où le client doit être installé (le chemin par défaut est C:\Program Files\Specopssoft\Specops Client\), puis cliquez sur Suivant.
Cliquez sur Installer.
Une fois l'installation terminée, cliquez sur Terminer.

Configuration du client Specops

Le client Specops peut être configuré à l'aide du modèle administratif dans la console de gestion des stratégies de groupe. Pour plus d'informations sur sa configuration, veuillez vous référer à la page du client Specops.

Configuration post-installation

Vous devrez compléter les paramètres de configuration suivants une fois que vous aurez installé Specops Password Reset.

Importer votre clé de licence

Entrez votre clé de licence dans l'outil de configuration Password Reset.

Ouvrez l'outil de configuration Specops Password Reset.
Dans le volet de navigation, sélectionnez Licence.
Cliquez sur Importer la licence.
Parcourez l'emplacement du fichier TXT, puis cliquez sur Ouvrir.

Vérifiez que votre domaine est configuré pour être utilisé avec Specops Password Reset

Ouvrez l'outil de configuration Specops Password Reset.
Dans le volet de navigation, sélectionnez Domaines.
Vérifiez que votre domaine est répertorié sous Domaines configurés.

Activer l'authentification au serveur Web Password Reset

Ajouter des membres aux groupes de sécurité locaux Specops Password Reset

Installer des serveurs Web supplémentaires que vous pourriez vouloir utiliser pour un accès externe

Consultez Installer le composant Web dans la DMZ (si applicable)

Si vous utilisez l'authentification par question secrète, assurez-vous que les utilisateurs s'inscrivent dans les systèmes

Pour des informations sur les différentes options d'inscription et les meilleures pratiques, consultez Specops Password Reset Options d'inscription et meilleures pratiques.

Vérifiez que le client Specops est installé sur vos machines clientes

Effectuez les étapes suivantes sur le client pour déterminer que le client a été installé avec succès.

Affichez les programmes installés depuis le panneau de configuration:
- Ouvrez Programmes et fonctionnalités.
- Dans la liste des programmes installés, trouvez Client Specops.
Remarque

Vous pouvez également voir la version du client.
Affichez les programmes installés depuis le registre.
- Ouvrez l'éditeur de registre.
- Naviguez jusqu'à HKEY_LOCAL_MACHINE\SOFTWARE\Specopssoft\uReset\Client
Remarque

La clé ci-dessus n'existera qu'après l'installation du client.

Vérifiez les paramètres de sécurité pour les comptes administratifs

Windows contient de nombreuses fonctionnalités de sécurité intégrées conçues pour améliorer la sécurité autour des comptes administratifs. L'une de ces fonctionnalités est la fonctionnalité adminSDHolder, qui reconfigure automatiquement la liste de contrôle d'accès (ACL) sur les objets qui sont membres de groupes Active Directory privilégiés intégrés. Ce processus s'exécute toutes les 60 minutes sur l'émulateur PDC et supprimera les autorisations héritées de votre compte de service Specops Password Reset des objets utilisateur protégés. Si vous souhaitez que vos comptes administratifs puissent utiliser Specops Password Reset, vous devez ajouter manuellement des autorisations pour le compte de service au conteneur AdminSDHolder.

Connectez-vous avec un compte disposant des autorisations d'administrateur de domaine et exécutez la commande suivante:

dsacls "CN=AdminSDHolder, CN=System, <Domain DN>" /G
  "<ServiceAccount>:CCDC;classStore;" "<ServiceAccount>:LC;;"
  "<ServiceAccount>:CA;Reset Password;" "<ServiceAccount>:RP;userAccountControl;"
  "<ServiceAccount>:RPWP;mobile;" "<ServiceAccount>:RPWP;pwdLastSet;"
  "<ServiceAccount>:RPWP;lockoutTime;"

Exemple: dsacls "CN=AdminSDHolder, CN=System, DC=example, DC=com" /G
          "EXAMPLEsprsvc:CCDC;classStore;" "EXAMPLEsprsvc:LC;;"
          "EXAMPLEsprsvc:CA;Reset Password;" "EXAMPLEsprsvc:RP;userAccountControl;"
          "EXAMPLEsprsvc:RPWP;mobile;" "EXAMPLEsprsvc:RPWP;pwdLastSet;"
          "EXAMPLEsprsvc:RPWP;lockoutTime;"

Remplacez <domainDN> et <serviceAccount> par les composants de domaine de votre domaine et le nom du compte de service SPR.

Remarque

Permettre à Specops Password Reset de fonctionner avec un compte disposant d'autorisations administratives n'est pas une bonne pratique pour des raisons de sécurité. Activez ces paramètres uniquement si cela est requis par la réalité pratique de votre organisation.

Configurer l'accès aux stratégies de mot de passe fines d'Active Directory

Si Specops Password Reset est installé dans un domaine où des stratégies de mot de passe granulaires sont utilisées, le compte de service Specops Password Reset doit se voir accorder les autorisations pour lire les stratégies de mot de passe configurées.

Connectez-vous avec un compte disposant des autorisations d'administrateur de domaine et exécutez la commande suivante:

dsacls “CN=Password Settings Container,CN=System,<domainDN>” /I:T /G
<serviceAccount>:GR;;

Exemple: dsacls “CN=Password Settings Container,CN=System,DC=example,DC=com” /I:T /G EXAMPLEsprsvc:GR;;

Remplacez <domainDN> et <serviceAccount> par les composants de domaine de votre domaine et le nom du compte de service SPR.

Configurez votre environnement pour l'utiliser avec le service Web Mobile Access

Si vous avez installé le service Web Mobile Access dans le cadre de l'installation Web de Specops Password Reset, vous devrez compléter les étapes ci-dessous avant que le service ne soit prêt à être utilisé au sein de votre organisation.

Rendre le service Web Mobile Access accessible depuis Internet: Votre pare-feu doit autoriser la communication sur le port tcp 443 afin que les appareils mobiles puissent se connecter au service via https.

Activer la découverte de service: Pour que l'appareil trouve le service Mobile Access, l'application demandera à l'utilisateur de saisir son adresse e-mail. La partie domaine de l'adresse e-mail sera utilisée pour effectuer une requête DNS afin de trouver un enregistrement de service pour le service Web Mobile Access dans la zone de messagerie. Cela nécessite que chaque zone DNS soit mise à jour avec un nouvel enregistrement de service pointant vers le service Mobile Access Password Reset.

Créer l'enregistrement SRV Specops Password: L'enregistrement de service doit être créé dans votre zone DNS externe activée pour la messagerie par vous ou votre fournisseur d'accès Internet, selon qui gère les données de la zone.

Les paramètres suivants doivent être utilisés lors de la création de l'enregistrement de service:

Partie de l'enregistrement DNS	Valeur	Explication
_service	_tcp	Le service “_specopspassword” est accessible via tcp.
Nom de la zone	[zone]	Cette partie est le nom de votre zone Internet. Le nom complet de l'enregistrement de service pour le domaine “example.com” serait: _specopspassword._tcp.example.com.
TTL	[TTL]	Le temps (en secondes) pendant lequel l'enregistrement peut être mis en cache avant d'être considéré comme obsolète. Chaque zone a une valeur TTL par défaut, mais il est également possible de créer des TTL séparés pour chaque enregistrement.
Classe	IN	Le champ de classe DNS standard, c'est toujours “IN”.
Priorité	0	Si plus d'un hôte cible existe pour l'enregistrement de service, la priorité détermine la préférence entre les cibles. Les valeurs plus basses signifient une préférence plus élevée.
Port	443	Le service “_specopspassword” est accessible via SSL sur le port tcp/443. Si cette configuration est modifiée sur le serveur web, les données de port dans l'enregistrement SRV doivent également en tenir compte.
Cible	[target FQDN]	La cible est le FQDN de l'hôte exécutant le service Web Specops Password Reset. Pour un hôte appelé “spr” dans le domaine example.com, la cible serait: spr.example.com

L'enregistrement complet pour connecter les clients à l'hôte “spr.example.com” pourrait ressembler à ceci: _specopspassword._tcp.example.com 86400 IN 0 0 443 spr.example.com

Tester l'enregistrement de service: L'enregistrement de service peut être testé en exécutant la commande suivante:

nslookup -type=SRV _specopspassword._tcp.[your_domain_name]  8.8.8.8`

Réponse attendue:

nslookup -type=SRV _specopspassword._tcp.example.com 8.8.8.8

Serveur: google-public-dns-a.google.com

Adresse: 8.8.8.8

Réponse non autoritaire:

_specopspassword._tcp.example.com emplacement du service SRV:

priorité = 0

poids = 0

port = 443

nom d'hôte du serveur = spr.example.com

Si vous utilisez un proxy en interne, vous devrez ajouter une exception pour contourner l'authentification et permettre au système de naviguer vers la page Web Specops Password Reset sans authentification.