Configuration multi-domaines
L'utilisation d'une installation de Specops uReset dans plusieurs domaines est prise en charge dans des scénarios limités.
Le domaine où le Gatekeeper est installé est considéré comme le domaine système. Vous pouvez ajouter des périmètres Active Directory pour permettre aux utilisateurs d'autres domaines de se connecter et de réinitialiser leurs mots de passe. Les utilisateurs d'autres domaines peuvent également être gérés depuis les pages du Helpdesk.
Les scénarios suivants sont pris en charge dans le cas (exemple) de deux domaines (A et B), avec le Gatekeeper dans le domaine A, et l'utilisateur dans le domaine B:
Pris en charge:
- L'utilisateur est membre direct du groupe Admin dans le domaine A
- L'utilisateur est membre du groupe Universel dans le domaine B. Le groupe Universel est membre du groupe Admin dans le domaine A.
Étant donné le même exemple avec deux domaines, les scénarios suivants ne sont pas pris en charge:
Non pris en charge:
- Le domaine B est externe. L'utilisateur pourra se connecter, mais ne deviendra pas Admin.
- Groupes dépendants: L'utilisateur est membre du groupe Global dans le domaine B. Le groupe Global est membre du groupe Universel dans le domaine B. Le groupe Universel est membre du groupe Admin dans le domaine A.
- Les permissions AdminSDHolder ne sont configurées que pour le domaine système (si "Autoriser le compte dans les groupes protégés à s'inscrire" est activé), donc les Admins de Domaine et d'autres utilisateurs dans les groupes protégés ne peuvent pas devenir SA Admin.
Pour configurer Specops uReset pour un scénario multi-domaine, complétez les étapes ci-dessous:
- Assurez-vous d'avoir correctement installé Specops uReset. Voir Installation pour plus d'informations.
- Enregistrez le domaine enfant sur le Web uReset depuis Paramètres>Noms de domaine.
- Depuis l'onglet Politiques et Groupes dans l'outil d'administration Gatekeeper, ajoutez des périmètres pour votre domaine enfant.
- Sous Périmètres Active Directory, cliquez sur Modifier
- Sélectionnez Autoriser les périmètres à être en dehors de la racine de délégation Votre domaine enfant devrait apparaître.
- Depuis chaque domaine enfant, ajoutez l'OU que vous souhaitez ajouter au périmètre. La délégation Gatekeeper se fera automatiquement.
- Ouvrez la Console de Gestion des Stratégies de Groupe, créez une politique uReset dans le domaine enfant. Remarque: Lier des politiques uReset entre domaines n'est pas pris en charge. Chaque domaine enfant doit avoir sa propre politique uReset.
-
Cliquez sur Nouveau dans la ligne Politiques dans l'outil d'administration Gatekeeper.
-
La fenêtre Nouvelle Politique apparaîtra. Depuis le menu déroulant du domaine, sélectionnez le domaine enfant.
Remarque
Les domaines enfants n'apparaîtront que s'il y a un périmètre dans le domaine (comme à l'étape 2).
-
Configurez la politique comme souhaité.
- Configurez le Client Specops dans le domaine enfant. Vous devrez utiliser le modèle ADMX pour informer les clients dans les domaines enfants du Gatekeeper dans le domaine racine:
- Remplacements d'URL pour inscription/réinitialisation de mot de passe/changement de mot de passe Vous pouvez copier les URL web respectives depuis l'outil d'administration Specops uReset.
- Conteneur de paramètres personnalisés. Copiez le chemin du conteneur depuis l'onglet Politiques et Groupes de l'outil d'administration uReset.
- Spécifiez le type de conteneur de paramètres comme uReset.
-