Administration

Ce guide est destiné aux administrateurs responsables de la gestion des comptes d’utilisateurs dans leur environnement Microsoft Active Directory. Avant d’effectuer les tâches décrites dans ce guide, assurez-vous d’avoir correctement installé Specops Password Sync.

Principaux composants

Outil d’administration de Specops Password Sync : configure les paramètres système tels que les étendues de synchronisation, les serveurs de synchronisation et les points de synchronisation.

Composant logiciel enfichable Stratégie de groupe : Gère les paramètres de Specops Password Sync.

Outil d’administration de Specops Password Sync

Les outils d’administration de Specops Password Sync peut être utilisé pour créer et configurer :

  • Étendues de synchronisation
  • Serveurs de synchronisation
  • Points de synchronisation
  • Stratégies
  • Paramètres

Étendues de synchronisation

Les étendues de synchronisation sont utilisées pour créer une unité d’administration de base pour la synchronisation des mots de passe. L’étendue est liée à un niveau dans votre structure Active Directory et permet l’utilisation de Specops Password Sync sur les objets utilisateur sous le niveau sélectionné.

Les étendues de synchronisation peuvent également être utilisées pour contrôler l’accès administratif au produit. En attribuant des groupes de sécurité spécifiques en tant que "groupes de sécurité délégués" pour l’étendue, il est possible de restreindre les utilisateurs autorisés à modifier les paramètres dans l’étendue de synchronisation. Les groupes de sécurité intégrés tels que les "administrateurs de domaine" ont automatiquement l’autorisation de modifier toutes les étendues de synchronisation.

Créer une étendue de synchronisation

Dans les environnements de grande envergure, où l’administration des utilisateurs s’effectue à plusieurs emplacements, vous devez créer plusieurs étendues de synchronisation.

  1. Dans l’outil d’administration de Specops Password Sync, sélectionnez Étendues de synchronisation, puis cliquez sur Ajouter nouvelle.
  2. Saisissez un nom pour l’étendue de synchronisation.
  3. Cliquez sur Ajouter… pour sélectionner l’Étendue de gestion de l’utilisateur.
  4. Sélectionnez l’Étendue de gestion de l’utilisateur, puis cliquez sur OK.
  5. Pour contrôler l’accès administratif au produit, cliquez sur Ajouter… à côté de Groupes de sécurité délégués pour accorder aux groupes de sécurité l’autorisation de configurer des points de synchronisation dans l’étendue.
    • Saisissez le nom du groupe de sécurité.
    • Cliquez sur OK.
      REMARQUE
      • Les groupes de sécurité intégrés tels que les "administrateurs de domaine" ont automatiquement l’autorisation de modifier toutes les étendues de synchronisation.
      • Lors de l’utilisation de l’option de délégation de sécurité sur l’étendue de synchronisation, les autorisations sur le conteneur d’étendue de synchronisation dans Active Directory sont mises à jour dans le chemin d’accès "CN=<SPS Scope Name>,CN=SyncScopes,CN=Password Sync,CN=Specops,CN= System" sous la racine du domaine.
  6. Si vous souhaitez utiliser des paramètres SMTP personnalisés pour l’étendue de synchronisation, activez Remplacer les paramètres de messagerie globaux.
    REMARQUE
    Si cette case n’est pas cochée, la configuration SMTP globale de la page Paramètres sera utilisée pour cette étendue.
  7. Dans le champ Nom du serveur SMTP, saisissez le nom du Serveur SMTP.
  8. Dans le champ Numéro de port, saisissez ou accédez au port sur le serveur SMTP.
    REMARQUE
    Si ce champ est laissé vide, le port SMTP standard sera utilisé.
  9. Vous pouvez éventuellement configurer des paramètres plus avancés :
    • Activer la sécurité de la couche de transport (TLS)
    • Utiliser des informations d’identification SMTP personnalisées
      REMARQUE
      Si vous utilisez des informations d’identification SMTP personnalisées, vous devrez saisir le nom d’utilisateur SMTP et le mot de passe SMTP.
  10. Dans le champ Adresse e-mail de l’expéditeur, saisissez l’adresse e-mail à partir de laquelle le système doit envoyer des e-mails.
  11. Cliquez sur OK.

Modification des étendues de synchronisation

  1. Dans l’outil d’administration de Specops Password Sync, sélectionnez Étendues de synchronisation, puis sélectionnez l’étendue de synchronisation que vous souhaitez modifier.
  2. Cliquez sur Modifier.
  3. Effectuez les changements nécessaires, puis cliquez sur OK.

Suppression d’étendues de synchronisation

  1. Dans l’outil d’administration de Specops Password Sync, sélectionnez Étendues de synchronisation, puis sélectionnez l’étendue de synchronisation que vous souhaitez supprimer.
  2. Cliquez sur Supprimer.
  3. Dans la boîte de dialogue Suppression d’étendues de synchronisation, cliquez sur OK.

Définir l’étendue de synchronisation actuelle

L’outil d’administration fonctionne avec l’étendue de la synchronisation actuelle.

  1. Dans l’outil d’administration de Specops Password Sync, sélectionnez Étendue de synchronisation.
  2. Sélectionnez l’étendue de synchronisation que vous souhaitez configurer en tant qu’étendue de synchronisation actuelle, puis cliquez sur Définir actuelle.

Serveurs de synchronisation

Le serveur de synchronisation synchronise les nouveaux mots de passe avec les systèmes connectés. Selon le nombre d’utilisateurs dans votre environnement et la fréquence à laquelle ils changent leurs mots de passe, vous pourriez avoir besoin de plusieurs serveurs de synchronisation. Dans le cas où le serveur de synchronisation principal est inaccessible, le serveur secondaire sera utilisé.

Si un serveur de synchronisation est définitivement mis hors service, il doit être supprimé des points de synchronisation et des étendues de synchronisation.

Ajouter un serveur de synchronisation

  1. Dans l’outil d’administration de Specops Password Sync, sélectionnez Serveurs de synchronisation, puis cliquez sur Ajouter un serveur de synchronisation.
  2. Une liste des serveurs de synchronisation actuellement disponibles dans votre Active Directory vous sera présentée. Sélectionnez le serveur de synchronisation que vous souhaitez ajouter.
  3. Cliquez sur OK.

Supprimer un serveur de synchronisation

  1. Dans l’outil d’administration de Specops Password Sync, sélectionnez le serveur de synchronisation que vous souhaitez supprimer.
  2. Cliquez sur Supprimer.
  3. Dans la boîte de dialogue Supprimer les serveurs de synchronisation, cliquez sur Oui.

Points de synchronisation

Les points de synchronisation contrôlent les paramètres utilisés lorsqu’un mot de passe est synchronisé avec un autre système.

Vous aurez besoin d’un point de synchronisation pour chaque système avec lequel vous souhaitez effectuer la synchronisation. Vous configurez plusieurs points de synchronisation pour qu’ils se synchronisent avec le même système externe si votre organisation requiert des paramètres de synchronisation différents pour différents types d’utilisateurs.

Le point de synchronisation indique également le ou les serveurs de synchronisation à utiliser pour la synchronisation, ce qui vous permet de créer des points de synchronisation distincts avec différents paramètres de serveur pour différentes parties de votre organisation.

Ajouter des points de synchronisation

  1. Dans l’outil d’administration de Specops Password Sync, sélectionnez Points de synchronisation, puis cliquez sur Ajouter nouveau.
  2. Dans le champ Nom du point de synchronisation, saisissez le nom du point de synchronisation.
  3. Vous devrez sélectionner et configurer un serveur de synchronisation principal. Sélectionnez le bouton Parcourir à côté de Serveur de synchronisation principal, puis sélectionnez un serveur de synchronisation dans une liste de serveurs de synchronisation disponibles.
    • Sélectionnez un serveur de synchronisation.
    • Cliquez sur OK.
  4. Vous aurez la possibilité de sélectionner et de configurer un serveur de synchronisation secondaire. Sélectionnez le bouton Parcourir à côté de Serveur de synchronisation secondaire pour sélectionner un serveur de synchronisation dans une liste de serveurs de synchronisation disponibles.
    • Sélectionnez un serveur de synchronisation.
    • Cliquez sur OK.
  5. Dans le champ Nombre de tentatives maximum, spécifiez le nombre de tentatives de changement de mot de passe.
    REMARQUE
    Lorsque le serveur de synchronisation reçoit une nouvelle tâche, celui-ci tente de contacter le système distant conformément aux paramètres du fournisseur de synchronisation. En cas d’échec, le serveur déplace la tâche vers une file d’attente de tentatives à partir de laquelle la tâche sera tentée ultérieurement.
  6. Dans le champ Secondes entre les tentatives, saisissez le temps d’attente entre les tentatives si la communication avec le système externe échoue.
  7. Si le nom d’utilisateur dans le système externe n’est pas identique au nom de compte Windows, vous devrez utiliser le mappage de noms pour traduire le nom de compte de votre Active Directory au format de nom d’utilisateur dans le système distant. Cliquez sur le bouton à côté de Paramètres de mappage de noms. Pour plus d’informations sur l’utilisation des attributs de mappage de noms, veuillez consulter Mappage de noms.
  8. Cliquez sur Sélectionner et configurer le fournisseur afin de sélectionner un fournisseur pour le point de synchronisation. Le fournisseur est le composant qui sera utilisé lors de la communication avec le système externe lors du changement de mot de passe d’un utilisateur. Vous devrez configurer votre fournisseur sélectionné avec les paramètres nécessaires pour vous connecter au système distant et synchroniser les mots de passe. Les paramètres configurables varient entre chaque fournisseur de synchronisation. Pour plus d’informations sur les paramètres configurables, veuillez consulter Référence de configuration du fournisseur de synchronisation.
    • Dans la liste déroulante Fournisseur, sélectionnez un fournisseur pour le point de synchronisation.
    • Configurez les paramètres requis, puis cliquez sur OK.
  9. Les modèles d’e-mail peuvent être configurés pour envoyer des e-mails aux utilisateurs lors de certains événements système. Dans la liste déroulante Événement, sélectionnez un événement pour lequel vous souhaitez configurer un modèle d’e-mail. Pour plus d’informations, veuillez consulter Événements disponibles.
    • Cliquez sur Ajouter Nouveau.
    • Dans le champ Corps de texte, personnalisez les informations qui seront envoyées à l’utilisateur. Vous pouvez utiliser les espaces réservés disponibles pour insérer des informations du système dans l’e-mail. Les espaces réservés disponibles sont :

    Espace réservéDescription
    %providerName%Le nom du fournisseur utilisé par le point de synchronisation.
    %providerConfiguration%Une liste avec toutes les propriétés de configuration du fournisseur.
    %syncPointName%Le nom du point de synchronisation.
    %userName%Le nom de compte d’utilisateur Windows de l’utilisateur dont le mot de passe est changé.
    %userEmail%L’adresse e-mail de l’utilisateur dont le mot de passe est changé. Ceci est chargé à partir du compte d’utilisateur dans Active Directory.
    %externalUserName%Si le mappage de nom est utilisé, celui-ci contient le nom d’utilisateur traduit qui est utilisé dans le système externe. Si aucun mappage de nom n’est en place, celui-ci sera le même que l’espace réservé %userName%.
    %errorMessage%Informations concernant l’erreur qui s’est produite.
    %errorType%Le type d’erreur qui s’est produit.
  10. Une fois tous les paramètres nécessaires configurés, cliquez sur OK.

Modifier les points de synchronisation

  1. Dans l’outil d’administration de Specops Password Sync, sélectionnez Points de synchronisation, puis sélectionnez le point de synchronisation que vous souhaitez modifier.
  2. Cliquez sur Modifier.
  3. Effectuez les changements nécessaires, puis cliquez sur OK.

Supprimer des points de synchronisation

  1. Dans l’outil d’administration de Specops Password Sync, sélectionnez Points de synchronisation, puis sélectionnez le point de synchronisation que vous souhaitez supprimer.
  2. Cliquez sur Supprimer.
  3. Dans la boîte de dialogue Supprimer des Points de synchronisation, cliquez sur Oui.

Stratégies

Dans la section Stratégies, vous pouvez afficher et modifier les objets de stratégie de groupe avec les paramètres de Specops Password Sync sur votre domaine. Vous trouverez plus d’informations sur la modification de la stratégie dans la section Composant logiciel enfichable Stratégie de groupe de cette documentation.

Modifier un objet de stratégie de groupe

  1. Dans l’outil d’administration de Specops Password Sync, sélectionnez Stratégies, puis sélectionnez l’objet de stratégie de groupe que vous souhaitez modifier.
  2. Cliquez sur Modifier.
    Remarque : Vous ne pouvez modifier que les stratégies pour lesquelles Specops Password Sync est activé.
  3. Effectuez les changements nécessaires et fermez l’éditeur de stratégie de groupe.

Paramètres

L’onglet Paramètres affiche les paramètres de configuration à l’échelle du système utilisés par Specops Password Sync.

Modifier les paramètres de messagerie

Vous pouvez configurer les paramètres de messagerie par défaut utilisés par le système pour envoyer des e-mails. Vous pouvez remplacer les paramètres à l’échelle du système dans chaque étendue de synchronisation.

  1. Dans l’outil d’administration de Specops Password Sync, sélectionnez Paramètres, puis cliquez sur Modifier les paramètres.
  2. Dans le champ Nom du serveur SMTP, saisissez le nom du Serveur SMTP.
  3. Dans le champ Numéro de port, saisissez ou accédez au port sur le serveur SMTP.
  4. Vous pouvez éventuellement configurer des paramètres plus avancés.
    • Activer la sécurité de la couche de transport (TLS)
    • Utiliser des informations d’identification SMTP personnalisées
      REMARQUE
      Si vous utilisez des informations d’identification SMTP personnalisées, vous devrez saisir le nom d’utilisateur SMTP et le mot de passe SMTP.
  5. Dans le champ Adresse e-mail de l’expéditeur, saisissez l’adresse e-mail à partir de laquelle le système doit envoyer des e-mails.
  6. Dans le champ Nom d’affichage de l’expéditeur, saisissez le nom d’affichage de l’expéditeur.
  7. Dans le champ Destinataire administratif de l’e-mail, saisissez l’adresse e-mail administrative qui recevra les e-mails du système.
  8. Cliquez sur OK.

Importer la licence

L’onglet Informations de licence affiche les données de licence, dont un horodatage du comptage de licences quotidien. Pour importer une nouvelle clé de licence :

  1. Dans l’outil d’administration de Specops Password Sync, sélectionnez Paramètres, puis cliquez sur Importer la licence.
  2. Accédez à l’emplacement du fichier TXT, puis cliquez sur Ouvrir.

Composant logiciel enfichable Stratégie de groupe

Le composant logiciel enfichable de stratégie de groupe, installé avec les outils d’administration, vous permet de créer et de gérer les paramètres de Specops Password Sync dans les objets de stratégie de groupe. Ces paramètres sont stockés dans le cadre de l’objet de stratégie de groupe. La gestion des paramètres de Specops Password Sync dans la stratégie de groupe vous permet de contrôler comment et où les stratégies sont appliquées.

Création d’un objet de stratégie de groupe Specops Password Sync

  1. Dans la console de gestion des stratégies de groupe (GPMC), développez le nœud de votre domaine et localisez le nœud Objet de stratégie de groupe.
  2. Effectuez un clic droit sur le nœud Objet de stratégie de groupe, et sélectionnez Nouveau.
  3. Saisissez un nom pour l’objet de stratégie de groupe, puis cliquez sur OK.
  4. Effectuez un clic droit sur le nouveau nœud Objet de stratégie de groupe, et sélectionnez Modifier.
  5. Dans l’éditeur de stratégie de groupe, développez Configuration utilisateur, Stratégies, Paramètres Windows, et sélectionnez Specops Password Sync.
  6. Modifiez la stratégie et liez-la à l’unité d’organisation dans laquelle l’utilisateur est contenu.

Paramètres de stratégie

Les paramètres d’objet de stratégie de groupe vous permettent d’activer ou de désactiver les points de synchronisation que les utilisateurs concernés par l’objet de stratégie de groupe doivent utiliser. Les points de synchronisation sont activés en les sélectionnant dans la liste des points de synchronisation disponibles.

REMARQUE
L’éditeur d’objet de stratégie de groupe répertorie tous les points de synchronisation configurés pour le domaine, quelle que soit l’étendue de synchronisation dans laquelle ils ont été créés. Si votre organisation utilise plusieurs étendues de synchronisation, vous devez implémenter une convention de dénomination pour les points de synchronisation afin de vous assurer que les bons points de synchronisation sont utilisés dans les objets de stratégie de groupe. Specops Password Sync ne synchronisera pas les mots de passe des utilisateurs en dehors de l’étendue de synchronisation sur laquelle le point de synchronisation est créé.