Administration

Ce guide est destiné aux administrateurs responsables de la gestion des comptes utilisateurs dans leur environnement Microsoft Active Directory. Avant d'effectuer les tâches de ce guide, veuillez vous assurer que vous avez correctement installé Specops Password Sync.

Composants clés

Outil d'administration Specops Password Sync: Configure les paramètres système tels que les périmètres de synchronisation, les serveurs de synchronisation et les points de synchronisation.

Module complémentaire de stratégie de groupe: Gère les paramètres de Specops Password Sync.

Outil d'administration Specops Password Sync

L'outil d'administration Specops Password Sync peut être utilisé pour créer et configurer:

Périmètres de synchronisation
Serveurs de synchronisation
Points de synchronisation
Politiques
Paramètres

Périmètres de synchronisation

Les périmètres de synchronisation sont utilisés pour créer une unité d'administration de base pour la synchronisation des mots de passe. Le périmètre est lié à un niveau dans votre structure Active Directory et permet l'utilisation de Specops Password Sync sur les objets utilisateur situés sous le niveau sélectionné.

Les périmètres de synchronisation peuvent également être utilisés pour contrôler l'accès administratif dans le produit. En assignant des groupes de sécurité spécifiques comme « Groupes de sécurité délégués » pour le périmètre, il est possible de restreindre quels utilisateurs peuvent modifier les paramètres dans le périmètre de synchronisation. Les groupes de sécurité intégrés tels que « Administrateurs de domaine » ont automatiquement la permission de modifier tous les périmètres de synchronisation.

Créer un périmètre de synchronisation

Dans les grands environnements, où l'administration des utilisateurs a lieu à plus d'un endroit, vous devriez créer plusieurs périmètres de synchronisation.

Depuis l'outil d'administration Specops Password Sync, sélectionnez Périmètres de synchronisation, et cliquez sur Ajouter nouveau.
Entrez un nom pour le périmètre de synchronisation.
Cliquez sur Ajouter… pour sélectionner le périmètre de gestion des utilisateurs.
Sélectionnez le périmètre de gestion des utilisateurs, et cliquez sur OK.
Pour contrôler l'accès administratif dans le produit, cliquez sur Ajouter… à côté des groupes de sécurité délégués pour accorder aux groupes de sécurité la permission de configurer les points de synchronisation dans le périmètre.
- Entrez le nom du groupe de sécurité.
- Cliquez sur OK.
Remarque
- Les groupes de sécurité intégrés tels que « Administrateurs de domaine » ont automatiquement la permission de modifier tous les périmètres de synchronisation.
- Lors de l'utilisation de l'option de délégation de sécurité sur le périmètre de synchronisation, les permissions sur le conteneur de périmètre de synchronisation dans Active Directory sont mises à jour au chemin « CN=<Nom du périmètre SPS>,CN=SyncScopes,CN=Password Sync,CN=Specops,CN=System » sous la racine du domaine.
Si vous souhaitez utiliser des paramètres SMTP personnalisés pour le périmètre de synchronisation, activez Remplacer les paramètres globaux de messagerie.

Remarque

Si cette case n'est pas cochée, la configuration SMTP globale de la page Paramètres sera utilisée pour ce périmètre.
Dans le champ Nom du serveur SMTP, entrez le nom du serveur SMTP.
Dans le champ Numéro de port, entrez ou parcourez le port sur le serveur SMTP.

Remarque

Si ce champ est laissé vide, le port SMTP standard sera utilisé.
Facultativement, vous pouvez configurer des paramètres plus avancés:
- Activer la sécurité de la couche de transport (TLS)
- Utiliser des identifiants SMTP personnalisés
Remarque

Si vous utilisez des identifiants SMTP personnalisés, vous devrez entrer le nom d'utilisateur SMTP et le mot de passe SMTP.
Dans le champ Adresse email de l'expéditeur, entrez l'adresse email à partir de laquelle le système doit envoyer des emails.
Cliquez sur OK.

Modifier les périmètres de synchronisation

Depuis l'outil d'administration Specops Password Sync, sélectionnez Périmètres de synchronisation, et sélectionnez le périmètre de synchronisation que vous souhaitez modifier.
Cliquez sur Modifier.
Apportez les modifications nécessaires, et cliquez sur OK.

Supprimer les périmètres de synchronisation

Depuis l'outil d'administration Specops Password Sync, sélectionnez Périmètres de synchronisation, et sélectionnez le périmètre de synchronisation que vous souhaitez supprimer.
Cliquez sur Supprimer.
Dans la boîte de dialogue Supprimer le périmètre de synchronisation, cliquez sur OK.

Définir le périmètre de synchronisation actuel

L'outil d'administration fonctionne avec le périmètre de synchronisation actuel.

Depuis l'outil d'administration Specops Password Sync, sélectionnez Périmètre de synchronisation.
Sélectionnez le périmètre de synchronisation que vous souhaitez configurer comme périmètre de synchronisation actuel, et cliquez sur Définir actuel.

Serveurs de synchronisation

Le serveur de synchronisation synchronise les nouveaux mots de passe avec les systèmes connectés. Selon le nombre d'utilisateurs dans votre environnement et la fréquence à laquelle ils changent leurs mots de passe, vous pourriez avoir besoin de plus d'un serveur de synchronisation. Dans le cas où le serveur de synchronisation principal ne peut pas être atteint, le serveur secondaire sera utilisé.

Si un serveur de synchronisation est définitivement mis hors service, il doit être retiré des points de synchronisation et des périmètres de synchronisation.

Ajouter un serveur de synchronisation

Depuis l'outil d'administration Specops Password Sync, sélectionnez Serveurs de synchronisation, et cliquez sur Ajouter un serveur de synchronisation.
Une liste des serveurs de synchronisation actuellement disponibles dans votre Active Directory vous sera présentée. Sélectionnez le serveur de synchronisation que vous souhaitez ajouter.
Cliquez sur OK.

Supprimer un serveur de synchronisation

Depuis l'outil d'administration Specops Password Sync, sélectionnez le serveur de synchronisation que vous souhaitez supprimer.
Cliquez sur Supprimer.
Dans la boîte de dialogue Supprimer les serveurs de synchronisation, cliquez sur Oui.

Points de synchronisation

Les points de synchronisation contrôlent les paramètres utilisés lorsqu'un mot de passe est synchronisé avec un autre système.

Vous aurez besoin d'un point de synchronisation pour chaque système avec lequel vous souhaitez synchroniser. Vous configurez plusieurs points de synchronisation pour synchroniser avec le même système externe si votre organisation nécessite des paramètres de synchronisation différents pour différents types d'utilisateurs.

Le point de synchronisation spécifie également quel(s) serveur(s) de synchronisation utiliser pour la synchronisation, vous permettant de créer des points de synchronisation distincts avec des paramètres de serveur différents pour différentes parties de votre organisation.

Ajouter des points de synchronisation

Depuis l'outil d'administration Specops Password Sync, sélectionnez Points de synchronisation, et cliquez sur Ajouter nouveau.
Dans le champ Nom du point de synchronisation, entrez le nom du point de synchronisation.
Vous devrez sélectionner et configurer un serveur de synchronisation principal. Sélectionnez le bouton de navigation à côté du serveur de synchronisation principal, et sélectionnez un serveur de synchronisation dans une liste de serveurs de synchronisation disponibles.
- Sélectionnez un serveur de synchronisation.
- Cliquez sur OK.
Vous aurez l'option de sélectionner et configurer un serveur de synchronisation secondaire. Sélectionnez le bouton de navigation à côté du serveur de synchronisation secondaire pour sélectionner un serveur de synchronisation dans une liste de serveurs de synchronisation disponibles.
- Sélectionnez un serveur de synchronisation.
- Cliquez sur OK.
Dans le champ Nombre maximum de tentatives, spécifiez le nombre de fois que le changement de mot de passe doit être tenté.

Remarque

Lorsque le serveur de synchronisation reçoit un nouveau travail, il tentera de contacter le système distant selon les paramètres du fournisseur de synchronisation. Si cela échoue, le serveur déplace le travail dans une file d'attente de nouvelles tentatives où le travail sera tenté à un moment ultérieur.
Dans le champ Secondes entre les tentatives, entrez le temps d'attente entre les tentatives si la communication avec le système externe échoue.
Si le nom d'utilisateur dans le système externe n'est pas identique au nom de compte Windows, vous devrez utiliser le mappage de noms pour traduire le nom de compte de votre Active Directory au format de nom d'utilisateur dans le système distant. Cliquez sur le bouton à côté des Paramètres de mappage de noms. Pour plus d'informations sur l'utilisation des attributs de mappage de noms, voir Mappage de noms.
Cliquez sur Sélectionner et configurer le fournisseur pour sélectionner un fournisseur pour le point de synchronisation. Le fournisseur est le composant qui sera utilisé lors de la communication avec le système externe lors du changement de mot de passe d'un utilisateur. Vous devrez configurer votre fournisseur sélectionné avec les paramètres nécessaires pour se connecter au système distant et synchroniser les mots de passe. Les paramètres configurables varieront entre chaque fournisseur de synchronisation. Pour plus d'informations sur les paramètres configurables, voir Référence de configuration du fournisseur de synchronisation.
- Depuis la liste déroulante du fournisseur, sélectionnez un fournisseur pour le point de synchronisation.
- Configurez les paramètres requis, et cliquez sur OK.

Les modèles d'email peuvent être configurés pour envoyer des emails aux utilisateurs lors de certains événements système. Depuis la liste déroulante des événements, sélectionnez un événement pour lequel vous souhaitez configurer un modèle d'email. Pour plus d'informations, voir Événements disponibles.

Cliquez sur Ajouter nouveau.

Dans le champ de texte du corps, personnalisez les informations qui seront envoyées à l'utilisateur. Vous pouvez utiliser les espaces réservés disponibles pour insérer des informations du système dans l'email. Les espaces réservés disponibles sont:

Espace réservé	Description
%providerName%	Le nom du fournisseur utilisé par le point de synchronisation.
%providerConfiguration%	Une liste avec toutes les propriétés de configuration pour le fournisseur.
%syncPointName%	Le nom du point de synchronisation.
%userName%	Le nom de compte utilisateur Windows de l'utilisateur dont le mot de passe est modifié.
%userEmail%	L'adresse email de l'utilisateur dont le mot de passe est modifié. Cela est chargé à partir du compte utilisateur dans Active Directory.
%externalUserName%	Si le mappage de noms est utilisé, cela contient le nom d'utilisateur traduit utilisé dans le système externe. Si aucun mappage de noms n'est en place, cela sera le même que l'espace réservé %userName%.
%errorMessage%	Informations sur l'erreur survenue.
%errorType%	Le type d'erreur survenue.

Si vous avez configuré tous les paramètres nécessaires, cliquez sur OK.

Modifier les points de synchronisation

Depuis l'outil d'administration Specops Password Sync, sélectionnez Points de synchronisation, et sélectionnez le point de synchronisation que vous souhaitez modifier.
Cliquez sur Modifier.
Apportez les modifications nécessaires, et cliquez sur OK.

Supprimer les points de synchronisation

Depuis l'outil d'administration Specops Password Sync, sélectionnez Points de synchronisation, et sélectionnez le point de synchronisation que vous souhaitez supprimer.
Cliquez sur Supprimer.
Dans la boîte de dialogue Supprimer les points de synchronisation, cliquez sur Oui.

Politiques

Depuis la section Politiques, vous pouvez afficher et modifier les objets de stratégie de groupe avec les paramètres Specops Password Sync dans votre domaine. Plus d'informations sur la modification de la politique peuvent être trouvées dans la section du module complémentaire de stratégie de groupe de cette documentation.

Modifier l'objet de stratégie de groupe

Depuis l'outil d'administration Specops Password Sync, sélectionnez Politiques, et sélectionnez le GPO que vous souhaitez modifier.
Cliquez sur Modifier. Remarque: Vous ne pouvez modifier que les politiques qui ont Specops Password Sync activé.
Apportez les modifications nécessaires, et fermez l'éditeur de stratégie de groupe.

Paramètres

L'onglet des paramètres affiche les paramètres de configuration à l'échelle du système utilisés par Specops Password Sync.

Modifier les paramètres de messagerie

Vous pouvez configurer les paramètres de messagerie par défaut utilisés par le système pour envoyer des emails. Vous pouvez remplacer les paramètres à l'échelle du système dans chaque périmètre de synchronisation.

Depuis l'outil d'administration Specops Password Sync, sélectionnez Paramètres, et cliquez sur Modifier les paramètres.
Dans le champ Nom du serveur SMTP, entrez le nom du serveur SMTP.
Dans le champ Numéro de port, entrez ou parcourez le port sur le serveur SMTP.
Facultativement, vous pouvez configurer des paramètres plus avancés.
- Activer la sécurité de la couche de transport (TLS)
- Utiliser des identifiants SMTP personnalisés
Remarque

Si vous utilisez des identifiants SMTP personnalisés, vous devrez entrer le nom d'utilisateur SMTP et le mot de passe SMTP.
Dans le champ Adresse email de l'expéditeur, entrez l'adresse email à partir de laquelle le système doit envoyer des emails.
Dans le champ Nom d'affichage de l'expéditeur, entrez le nom d'affichage pour l'expéditeur.
Dans le champ Destinataire email administratif, entrez l'email administratif qui recevra les emails du système.
Cliquez sur OK.

Importer une licence

L'onglet d'informations sur la licence affiche les données de licence, y compris un horodatage du décompte quotidien des licences. Pour importer une nouvelle clé de licence:

Depuis l'outil d'administration Specops Password Sync, sélectionnez Paramètres, et cliquez sur Importer une licence.
Parcourez l'emplacement du fichier TXT, et cliquez sur Ouvrir.

Module complémentaire de stratégie de groupe

Le module complémentaire de stratégie de groupe, installé avec les outils d'administration, vous permet de créer et de gérer les paramètres Specops Password Sync dans les objets de stratégie de groupe. Ces paramètres sont stockés comme une partie du GPO. La gestion des paramètres Specops Password Sync dans la stratégie de groupe vous permet de contrôler comment et où les politiques sont appliquées.

Création d'un GPO Specops Password Sync

Dans le GPMC, développez votre nœud de domaine et localisez le nœud des objets de stratégie de groupe.
Cliquez avec le bouton droit sur le nœud GPO, et sélectionnez Nouveau.
Entrez un nom pour l'objet de stratégie de groupe, et cliquez sur OK.
Cliquez avec le bouton droit sur le nouveau nœud GPO, et sélectionnez Modifier.
Dans l'éditeur de gestion des stratégies de groupe, développez Configuration utilisateur, Politiques, Paramètres Windows, et sélectionnez Specops Password Sync.
Modifiez la politique et liez-la à l'UO où l'utilisateur est contenu.

Paramètres de politique

Les paramètres du GPO vous permettent d'activer ou de désactiver les points de synchronisation que les utilisateurs affectés par le GPO doivent utiliser. Les points de synchronisation sont activés en les sélectionnant dans la liste des points de synchronisation disponibles.

Remarque

L'éditeur de GPO liste tous les points de synchronisation configurés pour le domaine, quel que soit le périmètre de synchronisation dans lequel ils ont été créés. Si votre organisation utilise plus d'un périmètre de synchronisation, vous devriez mettre en place une convention de nommage pour les points de synchronisation afin de vous assurer que les bons points de synchronisation sont utilisés dans les GPO. Specops Password Sync ne synchronisera pas les mots de passe pour les utilisateurs en dehors du périmètre de synchronisation dans lequel le point de synchronisation est créé.