Installation

Le contenu ci-dessous vous guidera à travers le processus d'installation de Specops Password Sync.

Composants clés

Texte alternatif pour cette image

Specops Password Sync se compose des composants suivants et ne nécessite aucun serveur ou ressource supplémentaire dans votre environnement. La vue d'ensemble architecturale ci-dessus montre la communication entre les composants lors de la réalisation d'une synchronisation de mot de passe.

Password Change Notifier: Lit les changements de mot de passe effectués par le contrôleur de domaine et envoie des demandes de synchronisation de mot de passe au serveur de synchronisation.

Serveur de synchronisation: Synchronise les nouveaux mots de passe avec les systèmes connectés.

Outils d'administration: Configure les aspects centraux de la solution et permet la création de paramètres Specops Password Sync dans les objets de stratégie de groupe.

Exigences

L'environnement de votre organisation doit répondre aux exigences système suivantes:

Composant	Exigence
Password Change Notifier	Windows Server 2016/2019/2022 .Net Framework 4.7.2 ou plus récent Contrôleur de domaine modifiable
Serveur de synchronisation	Windows Server 2016/2019/2022 .Net Framework 4.7.2 ou plus récent
Outils d'administration	Windows 10/11 ou Windows Server 2016/2019/2022 Console de gestion des stratégies de groupe (GPMC) .Net Framework 4.7.2 ou plus récent

L'assistant de configuration Specops vous aidera à répondre aux exigences système.

Installation de Specops Password Sync

Lors de l'installation, Specops Password Sync lancera l'assistant de configuration. L'assistant de configuration contient des informations d'installation pour tous les produits de la solution de gestion des mots de passe Specops, y compris Specops Password Sync, Specops Password Policy et Specops Password Reset. Vous n'aurez besoin de compléter que les étapes pour Specops Password Sync.

L'assistant de configuration vous aidera à installer les composants suivants pour Specops Password Sync:

Password Change Notifier
Serveur de synchronisation
Outils d'administration

Téléchargez l'assistant de configuration.
Enregistrez et exécutez l'assistant de configuration sur votre serveur.

Remarque

Par défaut, le fichier est extrait à C:\temp\SpecopsPasswordSync_Setup_[VersionNumber]
Double-cliquez sur SpecopsPasswordSync_Setup_[VersionNumber].exe pour lancer l'assistant de configuration.
Pour commencer, cliquez sur Démarrer l'installation dans la boîte de dialogue Assistant de configuration Specops, et Acceptez le contrat de licence utilisateur final.

Installation du Password Change Notifier

Le Password Change Notifier doit être installé sur tous les contrôleurs de domaine de votre Active Directory. Vous pouvez installer le Password Change Notifier à partir de l'assistant de configuration, ou vous pouvez déployer le Password Change Notifier via l'installation de logiciel de stratégie de groupe (GPSI) pour vous assurer que les nouveaux contrôleurs de domaine reçoivent automatiquement le Notifier.

Depuis l'assistant de configuration, cliquez sur Password Change Notifier.
Vérifiez que l'ordinateur exécute un système d'exploitation serveur valide.
Cliquez sur Installer.

Déployer le Password Change Notifier via GPSI

Copiez les packages MSI pour le Password Change Notifier vers un partage de fichiers dans votre infrastructure réseau.
Remarque
- Par défaut, le fichier est extrait à: C:\Temp\SpecopsPasswordSync_Setup_<ver>\Products\SpecopsPasswordSync
- Specops recommande d'utiliser des partages DFS car ils permettent le partage de charge et l'indépendance de localisation.
Dans votre domaine, créez un nouveau GPO et liez-le à l'unité organisationnelle des contrôleurs de domaine.
Entrez un nom pour le GPO, et cliquez sur OK.
Faites un clic droit sur le GPO nouvellement créé, et cliquez sur Modifier.
Développez Configuration de l'ordinateur, Stratégies, Paramètres logiciels.
Faites un clic droit sur Installation de logiciels, et sélectionnez Propriétés.
Parcourez l'emplacement du package msi.
Activez l'option de déploiement Attribuer.
Cliquez sur OK pour enregistrer le package.
Redémarrez les contrôleurs de domaine.

Installation du serveur de synchronisation

Le serveur de synchronisation synchronise les nouveaux mots de passe avec tous les systèmes pour lesquels l'utilisateur a été configuré pour synchroniser via les paramètres de stratégie de groupe Specops Password Sync. En fonction du nombre d'utilisateurs dans votre environnement et de la fréquence à laquelle ils changent leurs mots de passe, vous pourriez avoir besoin de plus d'un serveur de synchronisation.

Depuis l'assistant de configuration, cliquez sur Serveur de synchronisation.
Vérifiez que vous avez rempli les prérequis. Si vous ne remplissez pas les prérequis, vous pourriez avoir besoin de faire ce qui suit:
- Installez .NET Framework 4 ou plus récent.
- Vérifiez que vous exécutez un système d'exploitation valide.
Pour sélectionner le certificat qui sera utilisé pour vérifier l'identité du serveur de synchronisation auprès du composant Password Change Notifier, cliquez sur Sélectionner.
Remarque
- Toutes les communications entre le Password Change Notifier et le serveur de synchronisation sont chiffrées SSL en utilisant le même certificat.
- Vous pouvez utiliser un certificat généré par les services de certificats Active Directory ou un certificat auto-signé. Si vous utilisez un certificat auto-signé, vous devrez:
  - Mettre à jour le certificat une fois qu'il expire (le certificat ne sera pas renouvelé automatiquement).
  - Importer le certificat dans le conteneur des racines de confiance sur tous les contrôleurs de domaine.
Cliquez sur Installer. L'assistant de configuration utilisera automatiquement le package msi correct pour les systèmes locaux et installera la version appropriée du serveur de synchronisation.
Dans l'assistant d'installation du serveur de synchronisation, cliquez sur Suivant.
Vous aurez la possibilité de sélectionner les fournisseurs de synchronisation que vous souhaitez installer sur le serveur de synchronisation. Le paramètre par défaut est d'installer tous les fournisseurs fournis avec le produit. Si vous ne souhaitez pas utiliser un fournisseur, cliquez sur l'icône à côté du fournisseur, et sélectionnez Toute la fonctionnalité sera indisponible.

Remarque

Si vous souhaitez développer vos propres fournisseurs de synchronisation pour les systèmes utilisés par votre organisation, contactez le support Specops.
Cliquez sur Suivant.
Cliquez sur Terminer.

Installer les outils d'administration

L'installation des outils d'administration installera l'outil d'administration Specops Password Sync et le snap-in GPMC. Vous pouvez utiliser l'outil d'administration pour configurer les paramètres système tels que les périmètres de synchronisation, les serveurs de synchronisation et les points de synchronisation. Vous pouvez utiliser le snap-in GPMC pour configurer les politiques Specops Password Sync dans un objet de stratégie de groupe. Le GPO peut ensuite être appliqué à l'ensemble de votre domaine ou à une partie de votre domaine.

Les outils d'administration doivent être installés sur l'ordinateur à partir duquel vous souhaitez administrer le produit.

Depuis l'assistant de configuration, sélectionnez Outils d'administration.
Vérifiez que vous avez rempli les prérequis. Si vous ne remplissez pas les prérequis, vous pourriez avoir besoin de faire ce qui suit:
- Installez .NET Framework 4 ou plus récent.
- Vérifiez que l'utilisateur exécutant l'assistant de configuration est un administrateur d'entreprise ou de domaine.
Cliquez sur Installer.

Configuration post-installation

Vous devrez compléter les paramètres de configuration suivants une fois que vous avez installé Specops Password Sync.

Importer votre clé de licence

Entrez votre clé de licence dans l'outil d'administration Specops Password Sync.

Ouvrez l'outil d'administration Specops Password Sync.
Vous serez invité à importer votre clé de licence. Parcourez l'emplacement du fichier TXT, et cliquez sur Ouvrir.

Vérifiez que le Password Change Notifier a été installé sur tous vos contrôleurs de domaine

Remarque

Vos contrôleurs de domaine doivent être redémarrés après l'installation.

Vérifiez que le(s) certificat(s) utilisé(s) sur votre(vos) serveur(s) de synchronisation sont approuvés par les contrôleurs de domaine

Ajouter des membres aux groupes de sécurité locaux Specops Password Sync

Utilisez l'assistant de configuration pour créer une configuration de base

L'assistant de configuration dans la page d'accueil de l'outil d'administration peut vous aider à créer et configurer rapidement les paramètres de base nécessaires pour synchroniser les mots de passe.

Pour créer une configuration de base, cliquez sur Assistant de configuration.

Créer un périmètre de synchronisation

Les périmètres de synchronisation sont utilisés pour créer une unité d'administration de base pour la synchronisation des mots de passe. Le périmètre est lié à un niveau dans votre structure Active Directory et permet l'utilisation de Specops Password Sync sur les objets utilisateur situés sous le niveau sélectionné.

Dans les grands environnements, où l'administration des utilisateurs a lieu à plusieurs endroits, vous devriez créer plusieurs périmètres de synchronisation.

Entrez un nom pour le périmètre de synchronisation.
Cliquez sur Parcourir pour sélectionner le périmètre de gestion des utilisateurs.
Remarque
- Le système attribue par défaut la racine du domaine comme périmètre de gestion. Vous devriez changer le périmètre de gestion si vous avez besoin d'une sélection plus restreinte d'utilisateurs.
- La synchronisation des mots de passe se produira après que les paramètres de stratégie de groupe ont été configurés pour chaque point de synchronisation.
Cliquez sur Suivant.

Configurer les paramètres de messagerie système

Vous devrez configurer les paramètres de messagerie par défaut utilisés par le système pour envoyer des emails. Vous pouvez remplacer les paramètres système dans chaque périmètre de synchronisation.

Dans le champ Nom du serveur SMTP, entrez le nom du serveur SMTP.
Dans le champ Adresse de l'expéditeur de l'email, entrez l'adresse email à partir de laquelle le système doit envoyer des emails.
Dans le champ Adresse email de l'administrateur, entrez l'adresse email administrative qui recevra des emails du système.
Cliquez sur Suivant.

Créer un point de synchronisation avec un serveur de synchronisation et un fournisseur de synchronisation

Les points de synchronisation contrôlent les paramètres utilisés lorsqu'un mot de passe est synchronisé avec un autre système.

Vous aurez besoin d'un point de synchronisation pour chaque système avec lequel vous souhaitez synchroniser. Vous configurez plusieurs points de synchronisation pour synchroniser avec le même système externe si votre organisation nécessite des paramètres de synchronisation différents pour différents types d'utilisateurs.

Le point de synchronisation spécifie également quel(s) serveur(s) de synchronisation utiliser pour la synchronisation, vous permettant de créer des points de synchronisation distincts avec des paramètres de serveur différents pour différentes parties de votre organisation.

Dans la liste déroulante du serveur de synchronisation, sélectionnez le serveur de synchronisation que vous souhaitez utiliser avec le point de synchronisation.
Dans la liste des fournisseurs, sélectionnez le fournisseur de synchronisation que vous souhaitez utiliser avec votre point de synchronisation. Le fournisseur est le système avec lequel vous souhaitez synchroniser les mots de passe.
Cliquez sur Suivant.

Configurer le fournisseur avec les paramètres de synchronisation

Vous devrez configurer votre fournisseur sélectionné avec les paramètres nécessaires pour se connecter au système distant et synchroniser les mots de passe. Les paramètres configurables varieront entre chaque fournisseur de synchronisation.

Créer un GPO avec les paramètres Specops Password Sync

Une fois que vous avez configuré le fournisseur avec les paramètres de synchronisation, vous pouvez créer automatiquement le GPO dans votre domaine. Lorsque vous créez automatiquement le GPO, il sera lié au même niveau dans Active Directory que le périmètre de gestion sélectionné pour le périmètre de synchronisation.

Vous pouvez également le créer manuellement à partir de la console de gestion des stratégies de groupe.