Configuration de la sécurité du helpdesk délégué
L'outil Helpdesk de Specops Password Reset peut être configuré pour utiliser l'un des modèles de sécurité suivants:
- Modèle de sous-système de confiance: Lors de l'utilisation du modèle de sous-système de confiance, l'accès au Helpdesk est contrôlé par l'appartenance au groupe de sécurité local « Specops Password Helpdesk Admins » sur le serveur Specops Password Reset. Les utilisateurs autorisés à accéder au Helpdesk peuvent réinitialiser le mot de passe de tout utilisateur dans le périmètre de gestion configuré dans les domaines configurés.
- Modèle de sécurité déléguée: Lors de l'utilisation du modèle de sécurité déléguée, toutes les opérations du serveur sont effectuées dans le contexte de sécurité de l'utilisateur accédant à la page web. Cela est utile dans les environnements où la capacité de réinitialiser les mots de passe a été déléguée au personnel du Helpdesk. Le modèle de sécurité déléguée permet une journalisation et un suivi détaillés des activités des utilisateurs dans le système, et peut être utilisé pour fournir un contrôle granulaire sur qui est autorisé à réinitialiser quel mot de passe.
L'outil Helpdesk utilise par défaut le modèle de sécurité du sous-système de confiance. Specops Password Reset doit être configuré pour utiliser le modèle qui répond le mieux aux besoins de sécurité de votre organisation.
Configurer l'outil Helpdesk pour utiliser le modèle de sécurité déléguée
Pour utiliser le modèle de sécurité déléguée, vous devez compléter les étapes de configuration ci-dessous:
Configurer le compte de service SPR:
- Une fois le compte de service pour le serveur SPR décidé/créé, modifiez les paramètres du compte depuis Utilisateurs et ordinateurs Active Directory, et activez l'option de compte « Ce compte prend en charge le chiffrement Kerberos AES 256 bits ».
Configurer Active Directory pour le Helpdesk délégué:
- Pour des informations sur la façon de procéder, voir Comment déléguer les permissions de réinitialisation de mot de passe dans Active Directory.
- Notez que lors de l'installation du web SPR à partir de l'assistant de configuration sur un ordinateur joint au domaine autre que le serveur SPR, la confiance pour la délégation sera activée pour le compte d'ordinateur web SPR.
Configurer le compte d'ordinateur du serveur SPR pour être de confiance pour la délégation:
Le compte d'ordinateur du serveur SPR n'a pas besoin d'une délégation configurée.
Configurer le compte utilisateur de service SPR pour être de confiance pour la délégation:
- Depuis Utilisateurs et ordinateurs Active Directory, accédez au compte de service.
- Faites un clic droit sur le compte de service, et sélectionnez Propriétés.
- Sélectionnez l'onglet Compte.
- Vérifiez que Le compte est sensible et ne peut pas être délégué n'est pas activé dans la liste des options de compte.
- Sélectionnez l'onglet Délégation.
- Ajoutez la délégation aux contrôleurs de domaine
- Depuis l'onglet délégation sur le compte utilisateur de service SPR dans Utilisateurs et ordinateurs Active Directory, sélectionnez Faire confiance à cet utilisateur pour la délégation uniquement aux services spécifiés.
- Sélectionnez Utiliser uniquement Kerberos, puis Ajouter….
- Sélectionnez le contrôleur de domaine depuis le sélecteur d'objets
- Sélectionnez le type de service ldap avec le fqdn du DC.
- Répétez cela pour tous les contrôleurs de domaine dans le même site.
- Cliquez sur OK.
Créez un dossier pour les fichiers journaux et activez les permissions de Contrôle total pour le groupe Specops Password Helpdesk Admins:
- Sur le serveur Specops Password Reset, créez un nouveau dossier (par exemple
C:\logfiles\PasswordReset). - Faites un clic droit sur le dossier, et sélectionnez Propriétés.
- Depuis l'onglet sécurité, cliquez sur Modifier….
- Cliquez sur Ajouter pour ajouter le groupe Specops Password Helpdesk Admins.
- Cliquez sur Emplacements….
- Sélectionnez le nœud supérieur, et cliquez sur OK.
- Cliquez sur Avancé….
- Cliquez sur Rechercher maintenant.
- Sélectionnez Specops Password Helpdesk Admins dans les résultats de recherche, et cliquez sur OK.
- Cliquez sur OK.
- Vérifiez que le groupe Specops Password Helpdesk Admins est sélectionné, et activez les permissions de Contrôle total pour Specops Password Helpdesk Admins.
- Cliquez sur OK.
Mettez à jour le chemin du fichier journal dans le registre:
- Ouvrez l'Éditeur du Registre.
- Modifiez la valeur suivante pour permettre au serveur SPR d'écrire le fichier de trace dans le répertoire où les administrateurs du Helpdesk SPR ont des permissions:
- Accédez à HKLM\Software\Specopssoft\Specops Password Reset\Server\LogFilePath.
- Dans le champ de données de la valeur, entrez le chemin que vous avez créé en 3a.
C:\logfiles\PasswordReset\PasswordResetServer.log - Cliquez sur OK.
- Modifiez la valeur suivante pour activer la traçabilité.
- Accédez à HKLM\Software\Specopssoft\Specops Password Reset\Server\Debug.
- Dans le champ Données de la valeur, entrez 3.
- Cliquez sur OK.
Redémarrez le service du serveur SPR.
Accordez le privilège Agir en tant que partie du système d'exploitation au compte de service SPR. Le privilège peut être attribué soit en utilisant un objet de stratégie de groupe de domaine, soit en utilisant l'outil « Stratégie de sécurité locale ».
- Si vous utilisez un GPO pour attribuer le privilège, le paramètre se trouve dans Configuration de l'ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur.
- Si vous utilisez la « Stratégie de sécurité locale », vous devez compléter les étapes suivantes:
- Ouvrez la Stratégie de sécurité locale sur le serveur SPR.
- Développez les éléments suivants: Paramètres de sécurité, Stratégies locales, et cliquez sur Attribution des droits utilisateur.
- Double-cliquez sur Agir en tant que partie du système d'exploitation
- Cliquez sur Ajouter un utilisateur ou un groupe….
- Ajoutez le compte de service SPR à la politique, et cliquez sur OK.
- Cliquez sur OK.
Activez le modèle de sécurité déléguée dans l'outil Helpdesk. Le modèle de sécurité déléguée est activé en modifiant l'entrée de registre suivante pour le serveur Specops Password Reset:
| Clé de registre | Description |
|---|---|
| HKLM\Software\Specopssoft\Specops Password Reset\Server\ UseDelegatedHelpdeskSecurity | Active le modèle de sécurité déléguée dans le helpdesk. Si la valeur est définie sur « 1 », le modèle de sécurité déléguée sera activé. Si elle est définie sur « 0 », le modèle de sécurité du sous-système de confiance sera utilisé. Valeur par défaut: 0 |
Autorisez les utilisateurs à écrire des événements dans le journal des applications sur le serveur SPR. Vous devrez créer l'entrée de registre suivante sur le serveur Specops Password Reset:
| Clé de registre | Valeur |
|---|---|
| HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\ CustomSD (REG_SZ) |
O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A ;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)(A;;0x1;;;S- 1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)(A;;0x2;;;BU) |
Optionnel: Si votre organisation utilise des politiques de mot de passe fines, accordez au personnel du Helpdesk les permissions de lecture des politiques de mot de passe fines. Si des politiques de mot de passe fines sont utilisées dans le domaine, vous devrez accorder au personnel du Helpdesk la permission de lecture pour voir les règles de mot de passe correctes dans l'outil Helpdesk.
- Connectez-vous à un contrôleur de domaine avec un compte ayant des permissions d'administrateur de domaine dans le domaine.
- Exécutez la commande suivante depuis une invite de commande: