Le Guide de l'administrateur fournit des informations conceptuelles sur le produit Directory and Resource Administrator (DRA). Cet ouvrage définit la terminologie et divers concepts connexes. Il fournit également des instructions pas à pas pour de nombreuses tâches de configuration et d’exploitation. Show
Public cibleCe manuel fournit des renseignements aux personnes responsables de la compréhension des concepts administratifs et de la mise en œuvre d'un modèle d'administration distribué et sécurisé. Documentation supplémentaireCe guide fait partie de la documentation de Directory and Resource Administrator. Pour obtenir la plus récente version de ce guide ainsi que d'autres documents sur DRA, visitez le site web de la documentation de DRA. CoordonnéesNous souhaitons recevoir vos commentaires et vos suggestions concernant ce livre et les autres documents inclus dans ce produit. Vous pouvez utiliser le lien (Faire un commentaire sur ce sujet) au bas de chaque page de la documentation en ligne, ou envoyer un courriel à . Pour les questions spécifiques aux produits, contactez le service clientèle de Micro Focus à partir de l'adresse suivante : https://www.microfocus.com/support-and-services/. I Mise en routeAvant d'installer et de configurer tous les composants de Directory and Resource Administrator™ (DRA), vous devez comprendre les fondements de ce que DRA fera pour votre entreprise et le rôle des composants de DRA dans l'architecture du produit. 1.0 Qu'est-ce que Directory and Resource Administrator?Directory and Resource Administrator est un outil qui offre une administration sécurisée et efficace de l'identité privilégiée de Microsoft Active Directory (AD). DRA effectue une délégation granulaire de « droit d'accès minimal » de sorte que les administrateurs et les utilisateurs ne reçoivent que les autorisations qui leur sont nécessaires pour s'acquitter de leurs responsabilités respectives. DRA assure également le respect des stratégies, fournit des audits et des rapports détaillés sur les activités et simplifie la réalisation de tâches répétitives grâce à l'automatisation des processus informatiques. Chacune de ces fonctionnalités contribue à protéger les environnements AD et Exchange de vos clients contre les risques d'élévation de privilèges, d'erreurs, d'activités malveillantes et de non-conformité réglementaire, tout en réduisant la charge de travail de l'administrateur par l'octroi des capacités de libre-service aux utilisateurs, aux gestionnaires d'entreprise et au personnel du service d'assistance. DRA étend également les puissantes fonctionnalités de Microsoft Exchange, ce qui permet d'assurer une gestion transparente des objets Exchange. Grâce à une interface utilisateur unique et commune, DRA fournit une administration basée sur des stratégies pour la gestion des boîtes aux lettres, des dossiers publics et des listes de distribution dans votre environnement Microsoft Exchange. DRA fournit les solutions dont vous avez besoin pour contrôler et gérer vos environnements Microsoft Active Directory, Windows, Exchange et Azure Active Directory.
2.0 Comprendre les composants de Directory and Resource AdministratorLes composants de DRA que vous utiliserez systématiquement pour gérer les accès privilégiés comprennent les serveurs principaux et secondaires, les consoles d'administrateur, les composants de création de rapports et le moteur de processus de travail d'Aegis pour automatiser les processus de travail. Le tableau suivant indique les interfaces utilisateur et les serveurs d'administration habituellement utilisés par chaque type d'utilisateur DRA :
2.1 Serveur d'administration DRALe serveur d'administration DRA stocke les données de configuration (environnement, accès délégué et stratégie), exécute les tâches d'automatisation et d'opérateur et audite l'activité du système. Tout en prenant en charge plusieurs clients de niveau console et API, le serveur est conçu pour offrir une haute disponibilité pour la redondance et l'isolation géographique par un modèle d'extension MMS (ensemble multimaître). Dans ce modèle, chaque environnement DRA requiert un serveur d'administration DRA principal qui se synchronise avec un certain nombre de serveurs d'administration DRA secondaires supplémentaires. Nous vous recommandons fortement de ne pas installer les serveurs d'administration sur les contrôleurs de domaine Active Directory. Pour chaque domaine géré par DRA, assurez-vous qu'il existe au moins un contrôleur de domaine sur le même site que le serveur d'administration. Par défaut, le serveur d'administration accède au contrôleur de domaine le plus proche pour toutes les opérations de lecture et d'écriture. Lors de l'exécution de tâches propres au site, telles que les réinitialisations de mot de passe, vous pouvez spécifier un contrôleur de domaine propre au site pour traiter l'opération. Il est recommandé d'utiliser un serveur d'administration secondaire dédié pour la création de rapports, le traitement par lots et les charges de travail automatisées. 2.2 Console de délégation et de configurationLa console de délégation et de configuration est une interface utilisateur installable qui permet aux administrateurs système d'accéder aux fonctions de configuration et d'administration de DRA.
2.3 Console WebLa console Web est une interface utilisateur basée sur le Web qui fournit un accès rapide et facile aux administrateurs assistants pour visualiser et gérer les objets délégués des domaines et services connectés. Les administrateurs peuvent personnaliser l'apparence et l'utilisation de la console Web afin d'inclure une marque d'entreprise et des propriétés de l'objet personnalisées. 2.4 Composants de création de rapportsLe module de création de rapports de DRA fournit des modèles intégrés et personnalisables pour la gestion de DRA et des détails sur les domaines et les systèmes gérés par DRA :
Les rapports de DRA peuvent être planifiés et publiés par l'intermédiaire de SQL Server Reporting Services pour être facilement distribués aux parties prenantes. 2.5 Moteur de processus de travailDRA s'intègre au moteur de processus de travail d'Aegis afin d'automatiser les tâches de processus de travail au moyen d'une console Web. Grâce à celle-ci, les administrateurs assistants peuvent configurer le serveur de processus de travail et exécuter des formulaires personnalisés d'automatisation des processus de travail, puis visualiser l'état de ces processus de travail. Pour obtenir de plus amples renseignements sur le moteur de processus de travail, consultez le site de la documentation de DRA. 2.6 Architecture du produitII Installation et mise à niveau du produitCe chapitre décrit les configurations matérielles, logicielles et de compte nécessaires pour Directory and Resource Administrator. Il vous guide ensuite tout au long du processus d'installation avec une liste de contrôle pour chaque composant de l'installation. 3.0 Planification de votre déploiementLorsque vous planifiez le déploiement de Directory and Resource Administrator, utilisez cette section pour évaluer la compatibilité de votre environnement matériel et logiciel et pour prendre note des ports et des protocoles requis que vous devrez configurer pour le déploiement. 3.1 Recommandations de ressources testéesCette section fournit des informations de dimensionnement que nous recommandons pour les ressources de base. Vos résultats peuvent varier en fonction du matériel disponible, d'un environnement précis, du type de données traitées et d'autres facteurs. Il est probable qu'il existe des configurations matérielles plus grandes et plus puissantes qui peuvent supporter une charge plus importante. Si vous avez des questions, veuillez consulter NetIQ Consulting Services. Exécuté dans un environnement d'environ un million d'objets Active Directory :
3.2 Provisionnement des ressources de l'environnement virtuelDRA garde de grands segments de mémoire actifs pendant de longues périodes de temps. Lors du provisionnement des ressources pour un environnement virtuel, les recommandations suivantes devraient être prises en compte :
3.3 Ports et protocoles requisLes ports et protocoles de communication DRA sont fournis dans cette section.
Tableaux des composants :
3.3.1 Serveurs d'administration DRA
3.3.2 Serveur DRA REST
3.3.3 Console Web (IIS)
3.3.4 Console de délégation et d'administration DRA
3.3.5 Serveur de processus de travail
3.4 Plateformes prises en chargePour obtenir les informations les plus récentes sur les plateformes logicielles prises en charge, reportez-vous à la page du produit Directory and Resource Administrator.
3.5 Serveur d'administration DRA, console Web et exigences des extensions RESTLes composants DRA nécessitent les logiciels et les comptes suivants :
3.5.1 Configuration logicielle requise
3.5.2 Domaine du serveur
3.5.3 Exigences relatives aux comptes
3.5.4 Comptes d'accès DRA de droit d'accès minimalVous trouverez ci-dessous les autorisations et les privilèges nécessaires pour les comptes spécifiés ainsi que les commandes de configuration que vous devez exécuter. Compte d'accès au domaine : L'utilisation d'ADSI Edit permet d'accorder au compte d'accès au domaine les autorisations Active Directory suivantes au niveau du domaine supérieur pour les types d'objets descendants suivants :
Accorder au compte d'accès au domaine les autorisations d'Active Directory suivantes au niveau du domaine supérieur pour cet objet et tous les objets descendants :
NOTE:
Compte d'accès Exchange : Pour gérer les objets Microsoft Exchange sur site, attribuez le rôle de gestion organisationnelle au compte d'accès à Exchange et le compte d'accès à Exchange au groupe des opérateurs de compte. Compte d'accès Skype : Assurez-vous que ce compte est un utilisateur compatible Skype et qu'il est membre d'au moins l'un des groupes suivants :
Compte d'accès aux dossiers publics : Affectez les autorisations Active Directory suivantes au compte d'accès aux dossiers publics :
Compte d'accès du locataire Azure : Affectez les autorisations Azure Active Directory suivantes au compte d'accès du locataire Azure :
Autorisations de compte du service d'administration NetIQ :
Après l'installation de DRA : Après que les domaines requis ont été ajoutés ou sont gérés par DRA, exécutez les commandes suivantes :
Accès à distance à SAM : Attribuer des contrôleurs de domaine ou des serveurs membres gérés par DRA pour activer les comptes énumérés dans le paramètre GPO ci-dessous, afin qu'ils puissent effectuer des interrogations à distance dans la base de données du gestionnaire de comptes de sécurité (SAM). La configuration doit inclure le compte de service DRA. Accès au réseau : Restreindre les clients autorisés à passer des appels à distance vers SAM Pour accéder à ce paramètre, procédez comme suit :
Pour de plus amples renseignements, consultez l'article 7023292 de la base de connaissances. 3.6 Configuration requise pour la création de rapportsLa configuration requise pour le composant de création de rapports de DRA comprend : 3.6.1 Configuration logicielle requise
3.7 Exigences relatives aux licencesVotre licence détermine les produits et fonctionnalités que vous pouvez utiliser. DRA requiert une clé de licence installée avec le serveur d'administration. Après avoir installé le serveur d'administration, vous pouvez utiliser l'utilitaire de contrôle de l'intégrité pour installer la licence que vous avez achetée. Une clé de licence d'essai (TrialLicense.lic) est également incluse dans le paquetage d'installation qui vous permet de gérer un nombre illimité de comptes d’utilisateurs et de boîtes aux lettres pendant 30 jours. Reportez-vous au contrat de licence d'utilisateur final du produit (CLUF) pour plus de renseignements sur la définition et les restrictions de licence. 4.0 Installation du produitCe chapitre vous guide dans l'installation de Directory and Resource Administrator. Pour de plus amples renseignements sur la planification de votre installation ou de votre mise à niveau, consultez Planification de votre déploiement. 4.1 Installer le serveur d'administration DRAVous pouvez installer le serveur d'administration DRA en tant que nœud principal ou secondaire dans votre environnement. Les exigences pour un serveur d'administration principal et secondaire sont les mêmes; cependant, chaque déploiement DRA doit inclure un serveur d'administration principal. Le paquetage du serveur DRA présente les caractéristiques suivantes :
Pour obtenir des informations sur l'installation de consoles DRA spécifiques et de clients de ligne de commande sur plusieurs ordinateurs, consultez la rubrique Installer les clients DRA. 4.1.1 Liste de contrôle d'installation interactive :
4.2 Installer les clients DRAVous pouvez installer des consoles DRA et des clients de ligne de commande précis en exécutant DRAInstaller.msi avec le paquetage .mst correspondant sur la cible d'installation :
Pour déployer des clients DRA donnés sur plusieurs ordinateurs de votre entreprise, configurez un objet de stratégie de groupe pour installer le paquet .MST correspondant.
NOTE:Pour obtenir de plus amples renseignements sur la stratégie de groupe, consultez l'aide de Microsoft Windows. Pour tester et déployer facilement et en toute sécurité la stratégie de groupe dans votre entreprise, utilisez Administrateur de stratégie de groupe . 4.4 Installation du module de création de rapports de DRALe module de création de rapports de DRA nécessite l'installation du fichier DRAReportingSetup.exe à partir de la trousse d'installation NetIQ DRA.
5.0 Mise à niveau du produitCe chapitre fournit un processus qui vous aide à mettre à niveau ou à migrer un environnement distribué en phases contrôlées. Dans ce chapitre, nous supposons que votre environnement contient plusieurs serveurs d'administration, certains serveurs étant situés sur des sites distants. Cette configuration s'appelle un ensemble multimaître (MMS). Un MMS comprend un serveur d'administration principal et un ou plusieurs serveurs d'administration secondaires associés. Pour obtenir de plus amples renseignements sur le fonctionnement d'un MMS, consultez la rubrique Configuration d'un ensemble multimaître dans le Guide de l'administrateur de DRA. 5.1 Planification de la mise à niveau de DRAExécutez le NetIQAdminInstallationKit.msi pour extraire le fichier d'installation de DRA, puis installez et exécutez l'utilitaire de contrôle de l'intégrité. Veillez à planifier votre déploiement de DRA avant de commencer le processus de mise à niveau. Lors de la planification de votre déploiement, tenez compte des règles suivantes :
IMPORTANT:
5.2 Tâches préalables à la mise à niveauAvant d'installer les mises à niveau, effectuez au préalable les étapes suivantes pour préparer chaque ensemble de serveurs.
NOTE:Si vous devez restaurer la sauvegarde de l'instance AD LDS, procédez comme suit :
Rubriques sur les préalables à la mise à niveau :
5.2.1 Utilisation d'un serveur d'administration local dédié pour exécuter une version précédente de DRAL'utilisation d'un ou de plusieurs serveurs d'administration secondaires pour exécuter une version précédente de DRA localement sur un site pendant la mise à niveau peut aider à réduire les temps d'arrêt et les connexions coûteuses aux sites distants. Cette étape est facultative et permet aux administrateurs assistants d'utiliser une version précédente de DRA tout au long du processus de mise à niveau, jusqu'à ce que vous soyez satisfait de votre déploiement. Considérez cette option si vous avez une ou plusieurs des exigences de mise à niveau suivantes :
Vous pouvez installer un nouveau serveur d'administration secondaire ou désigner un serveur secondaire existant exécutant une version précédente de DRA. Si vous avez l'intention de mettre à niveau ce serveur, il devrait être le dernier serveur mis à niveau. Sinon, désinstallez complètement DRA de ce serveur lorsque vous terminez votre mise à niveau. Configuration d'un nouveau serveur secondaire L'installation d'un nouveau serveur d'administration secondaire sur un site local peut vous aider à éviter des connexions coûteuses à des sites distants, et garantit que vos administrateurs assistants peuvent continuer à utiliser une version précédente de DRA sans interruption. Si votre environnement comprend un MMS qui s'étend sur plusieurs sites, vous devez envisager cette option. Par exemple, si votre MMS se compose d'un serveur d'administration principal sur votre site de Londres et d'un serveur d'administration secondaire sur votre site de Tokyo, envisagez d'installer un serveur secondaire sur le site de Londres et de l'ajouter au MMS correspondant. Ce serveur supplémentaire permet aux administrateurs assistants du site de Londres d’utiliser une version précédente de DRA jusqu’à la fin de la mise à niveau. Utilisation d'un serveur secondaire existant Vous pouvez utiliser un serveur d'administration secondaire existant comme serveur dédié pour une version de DRA précédente. Si vous ne prévoyez pas de mettre à niveau un serveur d'administration secondaire sur un site donné, vous devez envisager cette option. Si vous ne pouvez pas dédier un serveur secondaire existant, envisagez d'installer un nouveau serveur d'administration à cette fin. L'utilisation d'un ou de plusieurs serveurs secondaires dédiés pour exécuter une version de DRA précédente permet à vos administrateurs assistants de continuer à utiliser une version de DRA précédente sans interruption jusqu'à la fin de la mise à niveau. Cette option fonctionne mieux dans les environnements plus grands qui utilisent un modèle d'administration centralisé. 5.2.2 Synchronisation de votre ensemble de serveurs DRA des versions précédentesAvant de sauvegarder le registre des versions précédentes de DRA ou de commencer le processus de mise à niveau, assurez-vous d'avoir synchronisé les ensembles de serveurs afin que chaque serveur d'administration contienne les derniers paramètres de configuration et de sécurité. NOTE:Assurez-vous d'avoir apporté les modifications nécessaires aux paramètres de délégation, de configuration ou de stratégie pour ce MMS. Utilisez le serveur d'administration principal pour modifier ces paramètres. Une fois que vous avez mis à niveau le serveur d'administration principal, vous ne pouvez plus synchroniser les paramètres de délégation, de configuration ou de stratégie avec les serveurs d'administration exécutant les versions précédentes de DRA. Pour synchroniser votre ensemble de serveurs existant :
5.2.3 Sauvegarde du registre du serveur d'administrationLa sauvegarde du registre du serveur d'administration vous permet de revenir à vos configurations précédentes. Par exemple, si vous devez désinstaller complètement la version actuelle de DRA et utiliser la version précédente, une sauvegarde de vos paramètres de registre précédents vous permet de récupérer facilement vos paramètres de configuration et de sécurité précédents. Toutefois, soyez prudent lorsque vous modifiez votre registre. S'il y a une erreur dans votre registre, le serveur d'administration peut ne pas fonctionner comme prévu. Si une erreur se produit pendant le processus de mise à niveau, vous pouvez utiliser la sauvegarde de vos paramètres de registre pour restaurer ce dernier. Pour obtenir de plus amples renseignements, consultez l'aide de l'Éditeur de registre. IMPORTANT:La version du serveur DRA, le nom du système d'exploitation Windows et la configuration du domaine géré doivent être exactement les mêmes lors de la restauration du registre. IMPORTANT:Avant de procéder à la mise à niveau, sauvegardez le système d'exploitation Windows de la machine hébergeant DRA ou créez une image instantanée de la machine virtuelle. Pour sauvegarder le registre du serveur d'administration :
5.3 Mise à niveau du serveur d'administration DRALa liste de contrôle suivante vous guide tout au long du processus de mise à niveau. Utilisez ce processus pour mettre à niveau chaque ensemble de serveurs de votre environnement. Si vous ne l'avez pas encore fait, utilisez l'utilitaire de vérification de l'intégrité pour créer une sauvegarde de votre instance AD LDS actuelle. WARNING:Ne mettez pas à niveau vos serveurs d'administration secondaires tant que vous n'avez pas mis à niveau le serveur d'administration primaire pour le MMS en question. Vous pouvez répartir le processus de mise à niveau en plusieurs phases, en mettant à niveau un MMS à la fois. Ce processus de mise à niveau vous permet également d'inclure temporairement des serveurs secondaires exécutant une version précédente de DRA et des serveurs secondaires exécutant la version actuelle de DRA dans le même MMS. DRA prend en charge la synchronisation entre les serveurs d'administration exécutant une version précédente de DRA et les serveurs exécutant la version actuelle de DRA. Sachez cependant que DRA ne prend pas en charge l'exécution simultanée des versions précédentes et actuelle de DRA sur le même serveur d'administration ou ordinateur client. IMPORTANT:L'installation de la mise à niveau de DRA apporte les modifications suivantes lorsque vous mettez à niveau le serveur DRA d'une version DRA 9.x vers une version DRA 10.x :
Rubriques relatives à la mise à niveau du serveur :
5.3.1 Mise à niveau du serveur d'administration principalUne fois que vous avez terminé avec la préparation de votre MMS, mettez à niveau le serveur d'administration principal. Ne mettez pas à niveau les interfaces utilisateur sur les ordinateurs clients tant que vous n'avez pas mis à niveau le serveur d'administration principal. Pour obtenir de plus amples renseignements, consultez Déploiement des interfaces utilisateur DRA. NOTE:Pour obtenir des considérations et des instructions de mise à niveau plus détaillées, consultez les notes de mise à jour de Directory and Resource Administrator. Avant de procéder à la mise à niveau, informez vos administrateurs assistants lorsque vous prévoyez de démarrer ce processus. Si vous avez dédié un serveur d'administration secondaire pour exécuter une version précédente de DRA, identifiez également ce serveur afin que les administrateurs assistants puissent continuer à utiliser la version précédente de DRA lors de la mise à niveau. NOTE:Une fois que vous avez mis à niveau le serveur d'administration principal, vous ne pouvez plus synchroniser les paramètres de délégation, de configuration ou de stratégie de ce serveur vers les serveurs d'administration secondaires exécutant une version précédente de DRA. 5.3.2 Installation d'un serveur d'administration secondaire local pour la version actuelle de DRAL'installation d'un nouveau serveur d'administration secondaire pour exécuter la version actuelle de DRA sur un site local peut vous aider à réduire les connexions coûteuses aux sites distants tout en réduisant les temps d'arrêt généraux et en permettant un déploiement plus rapide des interfaces utilisateur. Cette étape est facultative et permet aux administrateurs assistants d'utiliser la version actuelle et une version précédente de DRA tout au long du processus de mise à niveau, jusqu'à ce que vous soyez satisfait de votre déploiement. Considérez cette option si vous avez une ou plusieurs des exigences de mise à niveau suivantes :
Par exemple, si votre MMS se compose d'un serveur d'administration principal sur votre site de Londres et d'un serveur d'administration secondaire sur votre site de Tokyo, envisagez d'installer un serveur secondaire sur le site de Tokyo et de l'ajouter au MMS correspondant. Ce serveur supplémentaire équilibre mieux la charge d’administration quotidienne sur le site de Tokyo et permet aux administrateurs assistants de chaque site d’utiliser une version précédente de DRA ainsi que la version actuelle de DRA jusqu’à la fin de la mise à niveau. De plus, vos administrateurs assistants ne subissent aucun temps d'arrêt, car vous pouvez immédiatement déployer les interfaces utilisateur actuelles de DRA. Pour obtenir de plus amples renseignements sur la mise à niveau des interfaces utilisateur, consultezDéploiement des interfaces utilisateur DRA. 5.3.3 Déploiement des interfaces utilisateur DRAEn règle générale, vous devez déployer les interfaces utilisateur actuelles de DRA après avoir mis à niveau le serveur d'administration principal et un serveur d'administration secondaire. Toutefois, pour les administrateurs assistants qui doivent utiliser le serveur d'administration primaire, assurez-vous de mettre à niveau leurs ordinateurs clients en premier en installant la console de délégation et de configuration. Pour obtenir de plus amples renseignements, consultez Planification de la mise à niveau de DRA. Si vous effectuez souvent un traitement par lots par l'interface CLI, le fournisseur ADSI ou PowerShell, ou si vous générez fréquemment des rapports, envisagez d'installer ces interfaces utilisateur sur un serveur d'administration secondaire dédié afin de maintenir un équilibre de charge approprié dans le MMS. Vous pouvez laisser vos administrateurs assistants installer les interfaces utilisateur de DRA ou déployer ces interfaces à l'aide d'une stratégie de groupe. Vous pouvez également déployer facilement et rapidement la console Web sur plusieurs administrateurs assistants. NOTE:Vous ne pouvez pas exécuter plusieurs versions de composants DRA côte à côte sur le même serveur DRA. Si vous prévoyez de mettre à niveau progressivement vos ordinateurs clients administrateurs assistants, envisagez de déployer la console Web pour garantir un accès immédiat à un serveur d'administration exécutant la version actuelle de DRA.
5.3.4 Mise à niveau des serveurs d'administration secondaireLors de la mise à niveau de serveurs d'administration secondaires, vous pouvez mettre à niveau chaque serveur en fonction de vos exigences en matière d'administration. Tenez également compte de la manière dont vous envisagez de mettre à niveau et de déployer les interfaces utilisateur DRA. Pour obtenir de plus amples renseignements, consultez Déploiement des interfaces utilisateur DRA. Par exemple, un schéma de mise à niveau classique peut comprendre les étapes suivantes :
Avant de procéder à la mise à niveau, informez vos administrateurs assistants lorsque vous prévoyez de démarrer ce processus. Si vous avez dédié un serveur d'administration secondaire pour exécuter une version précédente de DRA, identifiez également ce serveur afin que les administrateurs assistants puissent continuer à utiliser la version précédente de DRA lors de la mise à niveau. Lorsque vous terminez le processus de mise à niveau pour ce MMS et que tous les ordinateurs clients d'administrateurs assistants exécutent des interfaces utilisateur mises à niveau, déconnectez tous les serveurs ayant des versions précédentes de DRA. 5.4 Mise à niveau du module de création de rapportsAvant de mettre à niveau le module de création de rapports de DRA, assurez-vous que votre environnement répond à la configuration minimale requise pour NRC 3.2. Pour obtenir de plus amples renseignements sur les exigences d'installation et les considérations relatives à la mise à niveau, consultez le Guide de NetIQ Reporting Center Reporting.
Si votre environnement utilise l'intégration SSRS, vous devrez redéployer vos rapports. Pour obtenir de plus amples renseignements sur le redéploiement des rapports, consultez le Guide de Reporting Center sur le site de la documentation. III Configuration des composants et des processusCe chapitre fournit de l'information permettant de configurer DRA pour la première fois, y compris les serveurs et les personnalisations de serveurs, l'administration d'Azure, les consoles et les personnalisations de console, l'administration des dossiers publics et la connexion aux serveurs. 6.0 Configuration initialeCette section décrit les étapes de configuration requises si vous installez Directory and Resource Administrator pour la première fois. 6.1 Liste de contrôle de configurationUtilisez la liste de contrôle suivante pour vous guider dans la configuration de DRA lors de la première utilisation.
6.2 Installation ou mise à niveau de licencesDRA requiert un fichier de clé de licence. Ce fichier contient vos informations de licence et est installé sur le serveur d'administration. Après avoir installé le serveur d'administration, utilisez l'utilitaire de contrôle de l'intégrité pour installer la licence que vous avez achetée. Si cela est nécessaire, une clé de licence d'essai (TrialLicense.lic) est également incluse dans le paquetage d'installation qui vous permet de gérer un nombre illimité de comptes d’utilisateurs et de boîtes aux lettres pendant 30 jours. Pour mettre à niveau une licence existante ou d'évaluation, ouvrez la console de délégation et de configuration et accédez à > (Gestion de la configuration > Mettre à jour la licence). Lorsque vous mettez à niveau votre licence, mettez à niveau le fichier de licence sur chaque serveur d'administration. Vous pouvez consulter la licence de votre produit dans la console de délégation et de configuration. Pour afficher la licence de votre produit, accédez au menu > > . 6.3 Configurer les serveurs et les fonctionnalités de DRAPour gérer les droits d'accès minimaux pour les tâches Active Directory à l'aide de DRA, de nombreux composants et processus doivent être configurés. Il s'agit notamment des configurations générales et des configurations des composants clients. Cette section fournit de l'information sur les composants et les processus généraux qui doivent être configurés pour DRA.
6.3.1 Configurer l'ensemble multimaîtreUn environnement MMS utilise plusieurs serveurs d'administration pour gérer le même ensemble de domaines et de serveurs membres. Un MMS comprend un serveur d'administration principal et plusieurs serveurs d'administration secondaires. Le mode par défaut du serveur d'administration est Principal. Lorsque vous ajoutez des serveurs secondaires à votre environnement MMS, gardez à l'esprit qu'un serveur d'administration secondaire ne peut appartenir qu'à un seul ensemble de serveurs. Pour vous assurer que chaque serveur de l'ensemble gère les mêmes données, synchronisez périodiquement les serveurs secondaires avec le serveur d'administration principal. Pour réduire la maintenance, utilisez le même compte de service pour tous les serveurs d'administration dans la forêt de domaines. IMPORTANT:
Ajouter un serveur d'administration secondaire Vous pouvez ajouter un serveur d'administration secondaire à un MMS existant dans le client Délégation et configuration. Pour ajouter un serveur secondaire, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines. NOTE:Pour réussir à ajouter un nouveau serveur secondaire, vous devez d'abord installer le produit Directory and Resource Administrator sur l'ordinateur du serveur d'administration. Pour obtenir de plus amples renseignements, consultez Installer le serveur d'administration DRA. Pour ajouter un serveur d'administration secondaire, cliquez avec le bouton droit de la souris sur (Serveurs d'administration) dans le nœud Gestion de la configuration, puis sélectionnez (Ajouter un serveur secondaire). Promouvoir un serveur d'administration secondaire Vous pouvez promouvoir un serveur d'administration secondaire en serveur d'administration principal. Lorsque vous effectuez la promotion d'un serveur d'administration secondaire en serveur d'administration principal, le serveur d'administration principal existant devient un serveur d'administration secondaire dans le jeu de serveurs. Pour promouvoir un serveur d'administration secondaire, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines. Avant d'effectuer la promotion d'un serveur d'administration secondaire, synchronisez le MMS pour qu'il ait la dernière configuration. Pour obtenir de plus amples renseignements sur la synchronisation du MMS, consultez Planifier la synchronisation. NOTE:Un serveur principal nouvellement promu ne peut se connecter qu'aux serveurs secondaires qui étaient disponibles pendant le processus de promotion. Si un serveur secondaire est devenu indisponible pendant le processus de promotion, communiquez avec le service d'assistance technique. Pour promouvoir un serveur d'administration secondaire :
IMPORTANT:Lorsque le compte de service du serveur secondaire est différent du serveur principal ou que le serveur secondaire est installé dans un domaine différent de celui du serveur principal (domaines approuvés/domaines non approuvés), et que vous faites la promotion du serveur secondaire, assurez-vous de déléguer les rôles suivants avant de promouvoir le serveur secondaire : , et . Ensuite, assurez-vous que les synchronisations des MMS ont réussi. Rétrograder un serveur d'administration principal Vous pouvez rétrograder un serveur d'administration principal en serveur d'administration secondaire. Pour rétrograder un serveur d'administration principal, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines. Pour rétrograder un serveur d'administration principal :
Planifier la synchronisation La synchronisation garantit que tous les serveurs d'administration du MMS utilisent les mêmes données de configuration. Bien qu'il soit possible de synchroniser manuellement les serveurs à tout moment, la planification par défaut prévoit la synchronisation du MMS toutes les 4 heures. Vous modifiez cette planification pour l'adapter aux besoins de votre entreprise. Pour modifier la planification de synchronisation ou pour synchroniser manuellement les serveurs MMS, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines. Pour accéder a la planification de synchronisation ou aux synchronisations manuelles, accédez à > et utilisez le menu ou les options du clic droit sur un serveur sélectionné. La planification de synchronisation se trouve dans les propriétés du serveur sélectionné. Comprendre les options de synchronisation Il existe essentiellement quatre options différentes pour la synchronisation des serveurs MMS :
6.3.2 Gérer les exceptions de clonageLes exceptions de clonage vous permettent de définir des propriétés pour les utilisateurs, les groupes, les contacts et les ordinateurs qui ne seront pas copiés lorsque l'un de ces objets est cloné. Avec les pouvoirs appropriés, vous pouvez gérer les exceptions de clonage. Le rôle Gérer les exceptions de clonage confère le pouvoir d'afficher, de créer et de supprimer des exceptions de clonage. Pour afficher ou supprimer une exception de clonage existante, ou pour en créer une nouvelle, accédez à > > ou utilisez le menu qui s'affiche avec le clic droit. 6.3.4 Horodatage des événementsLorsque l'audit des services de domaine AD est activé, les événements DRA sont consignés comme ayant été générés par le compte de service DRA ou le compte d'accès au domaine, si un tel compte a été configuré. L'horodatage des événements va encore plus loin dans cette fonctionnalité en générant un événement AD DS supplémentaire identifiant l'administrateur assistant qui a effectué l'opération. Pour que ces événements soient générés, vous devez configurer l'audit AD DS et activer l'horodatage des événements sur le serveur d'administration DRA. Lorsque l'horodatage des événements est activé, vous pouvez afficher les modifications apportées par les administrateurs assistants dans les rapports sur les événements de Change Guardian.
Pour obtenir de plus amples renseignements sur l'horodatage des événements, consultez Fonctionnement de l'horodatage des événements. 6.3.5 Synchronisation AzureLa synchronisation Azure vous permet d'appliquer les stratégies sur les caractères non valides et sur le nombre de caractères afin d'empêcher les échecs de synchronisation de répertoire. Lorsque cette option est sélectionnée, les propriétés synchronisées avec Azure Active Directory limitent les caractères non valides et imposent des limites de longueur de caractères. Pour activer la synchronisation Azure :
6.3.6 Activer plusieurs gestionnaires pour les groupesLorsque vous activez la prise en charge de plusieurs gestionnaires pour gérer un groupe, l'un des deux attributs par défaut est utilisé pour stocker les gestionnaires du groupe. L'attribut lors de l'exécution de Microsoft Exchange est msExchCoManagedByLink. L'attribut par défaut lorsque vous n'exécutez pas Microsoft Exchange est nonSecurityMember . Cette dernière option peut être modifiée. Toutefois, nous vous recommandons de contacter le service d'assistance technique pour déterminer un attribut approprié si vous devez modifier ce paramètre. Pour activer la prise en charge de plusieurs gestionnaires pour les groupes :
6.3.7 Communications chiffréesCette fonction vous permet d'activer ou de désactiver l'utilisation les communications chiffrées entre le client de délégation et de configuration et le serveur d'administration. Par défaut, DRA chiffre les mots de passe des comptes. Cette fonctionnalité ne chiffre pas les communications du client Web ou de PowerShell, qui sont gérées séparément par des certificats de serveur. L'utilisation de communications chiffrées peut avoir un impact sur les performances. Les communications chiffrées sont désactivées par défaut. Si vous activez cette option, les données sont chiffrées pendant les communications entre les interfaces utilisateur et le serveur d'administration. DRA utilise le chiffrement standard Microsoft pour l'appel de procédure distante (RPC). Pour activer les communications chiffrées, accédez à > . Sur l'onglet , cochez la case . NOTE:Pour chiffrer toutes les communications entre le serveur d'administration et les interfaces utilisateur, vous devez disposer des pouvoirs appropriés tels que ceux du rôle Configurer les serveurs et domaines intégrés. 6.3.8 Définir les attributs virtuelsÀ l'aide des attributs virtuels, vous pouvez créer de nouvelles propriétés et associer ces propriétés aux utilisateurs, aux groupes, aux groupes de distribution dynamique, aux contacts, aux ordinateurs et aux unités organisationnelles. Les attributs virtuels vous permettent de créer de nouvelles propriétés sans obliger à étendre le schéma Active Directory. À l'aide des attributs virtuels, vous pouvez ajouter de nouvelles propriétés aux objets dans Active Directory. Vous pouvez uniquement créer, activer, désactiver, associer et dissocier des attributs virtuels sur le serveur d'administration principal. DRA stocke les attributs virtuels que vous créez dans AD LDS. DRA réplique les attributs virtuels du serveur d’administration principal sur des serveurs d’administration secondaires au cours du processus de synchronisation MMS. Avec les pouvoirs appropriés, vous pouvez gérer les attributs virtuels. Le rôle Gérer les attributs virtuels confère le pouvoir de créer, d’activer, d’associer, de dissocier, de désactiver et d’afficher des attributs virtuels. Créer des attributs virtuels Vous devez disposer du pouvoir Créer des attributs virtuels pour créer des attributs virtuels et du pouvoir Afficher les attributs virtuels pour afficher des attributs virtuels. Pour créer un attribut virtuel, accédez au nœud > > , puis cliquez sur dans le menu Tâches. Associer des attributs virtuels à des objets Vous ne pouvez associer que les attributs virtuels activés aux objets Active Directory. Une fois que vous avez associé un attribut virtuel à un objet, celui-ci est disponible dans les propriétés de l'objet. Pour exposer des attributs virtuels à l'aide des interfaces utilisateur DRA, vous devez créer une page de propriétés personnalisée. Pour associer un attribut virtuel à un objet, accédez au nœud > > , cliquez avec le bouton droit sur l'attribut virtuel à utiliser et sélectionnez > (type d'objet). NOTE:
Dissocier des attributs virtuels Vous pouvez dissocier les attributs virtuels des objets Active Directory. Tout nouvel objet que vous créez n'affiche pas l'attribut virtuel dissocié dans les propriétés de l'objet. Pour dissocier un attribut virtuel d'un objet Active Directory, accédez au nœud > > > (type d'objet). Cliquez avec le bouton droit de la souris sur l'attribut virtuel, puis sélectionnez . Désactiver des attributs virtuels Vous pouvez désactiver des attributs virtuels s'ils ne sont pas associés à un objet Active Directory. Lorsque vous désactivez un attribut virtuel, les administrateurs ne peuvent plus l'afficher ou l'associer à un objet. Pour désactiver un attribut virtuel, accédez à > . Cliquez avec le bouton droit de la souris sur l'attribut souhaité dans le volet de liste et sélectionnez . 6.3.9 Configurer la mise en cacheLe serveur d'administration crée et gère un cache des comptes contenant des parties d'Active Directory pour les domaines gérés. DRA utilise le cache des comptes pour améliorer les performances lors de la gestion des comptes d’utilisateurs, des groupes, des contacts et des comptes d'ordinateurs. Pour planifier une actualisation du cache ou afficher son état, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines. NOTE:Pour effectuer des actualisations incrémentielles du cache des comptes dans les domaines contenant des sous-arborescences gérées, assurez-vous que le compte de service dispose d'un accès en lecture au conteneur Objets supprimés ainsi qu'à tous les objets du domaine de la sous-arborescence. Vous pouvez utiliser l'utilitaire Objets supprimés pour vérifier et déléguer les autorisations appropriées. Actualisations complètes et incrémentielles Une actualisation incrémentielle du cache des comptes ne met à jour que les données qui ont changé depuis la dernière actualisation. L'actualisation incrémentielle offre un moyen simplifié de suivre l'évolution de votre Active Directory. Utilisez l’actualisation incrémentielle pour mettre rapidement à jour le cache des comptes tout en ayant le moins d’impacts sur votre entreprise. IMPORTANT:Microsoft Server limite le nombre d'utilisateurs simultanés connectés à la session WinRM/WinRS à cinq et le nombre de shells par utilisateur à cinq. Assurez-vous donc que le même compte d'utilisateur est limité à cinq shells pour les serveurs secondaires DRA. Une actualisation incrémentielle met à jour les données suivantes :
Une actualisation complète du cache des comptes reconstruit le cache des comptes de DRA pour le domaine spécifié. NOTE:Le domaine n'est pas disponible pour les utilisateurs DRA pendant une actualisation complète du cache des comptes. Effectuer une actualisation complète du cache des comptes Pour effectuer une actualisation du cache des comptes, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines. Pour effectuer immédiatement une actualisation complète du cache des comptes :
Fréquence planifiée par défaut La fréquence d'actualisation du cache des comptes dépend de la fréquence à laquelle votre entreprise change. Utilisez l'actualisation incrémentielle pour mettre à jour le cache des comptes fréquemment, en vous assurant que DRA dispose des informations les plus récentes sur Active Directory. Par défaut, le serveur d'administration effectue une actualisation incrémentielle du cache des comptes aux fréquences suivantes :
Vous ne pouvez pas planifier d'actualisation complète du cache des comptes. Cependant, DRA exécute une actualisation complète du cache des comptes automatique dans les cas suivants :
Effectuer une actualisation complète du cache des comptes peut nécessiter plusieurs minutes. Considérations Vous devez régulièrement actualiser le cache des comptes pour vous assurer que DRA dispose des informations les plus récentes. Avant d'effectuer ou de planifier l'actualisation du cache des comptes, prenez en compte les considérations suivantes :
6.3.10 Activer la collection d'imprimantes d'Active DirectoryLa collection d'imprimantes d'AD est désactivée par défaut. Pour l'activer, accédez à > . Sur l'onglet , cochez la case Collecter les imprimantes. 6.3.11 AD LDSVous pouvez configurer l'actualisation du nettoyage d'AD LDS pour qu'elle s'exécute selon une planification pour des domaines précis. Le paramètre par défaut est ne « Jamais » actualiser. Vous pouvez également afficher l'état du nettoyage et des informations précises relatives à la configuration d'AD LDS (ADAM). Pour configurer la planification ou afficher l'état du nettoyage d'AD LDS, cliquez à l'aide du bouton droit de la souris sur le domaine souhaité dans le nœud > , puis sélectionnez > ou , respectivement. Pour afficher les informations de configuration d'AD LDS (ADAM), accédez à > > . 6.3.12 Groupe dynamiqueUn groupe dynamique est un groupe dont l’adhésion change en fonction d’un ensemble de critères que vous configurez dans les propriétés du groupe. Dans les propriétés du domaine, vous pouvez configurer l'actualisation du groupe dynamique pour qu'elle s'exécute selon une planification pour des domaines précis. Le paramètre par défaut est ne « Jamais » actualiser. Vous pouvez également afficher l'état de l'actualisation. Pour configurer la planification ou afficher l'état d'actualisation du groupe dynamique, cliquez à l'aide du bouton droit de la souris sur le domaine souhaité dans le nœud > , puis sélectionnez > ou , respectivement. Pour obtenir de plus amples renseignements sur les groupes dynamiques, consultez la section Groupes dynamiques DRA. 6.3.13 Configurer la CorbeilleVous pouvez activer ou désactiver la Corbeille pour chaque domaine ou objet Microsoft Windows de chaque domaine et configurer quand et comment vous souhaitez que le nettoyage de la Corbeille ait lieu. Pour obtenir de plus amples renseignements sur l'utilisation de la Corbeille, consultez la section Corbeille. Activer la Corbeille Vous pouvez activer la Corbeille pour des domaines Microsoft Windows précis et des objets de ces domaines. Par défaut, DRA active la Corbeille pour chaque domaine qu’il gère et pour tous les objets du domaine. Vous devez être membre du groupe Administrateurs DRA ou Administrateurs assistants de Configuration DRA pour activer la Corbeille. Si votre environnement inclut la configuration suivante, utilisez l'utilitaire de la Corbeille pour activer cette fonctionnalité :
Vous pouvez également utiliser l'utilitaire de la Corbeille pour vérifier le service du serveur d'administration ou accéder aux autorisations du compte sur le conteneur de la Corbeille. Pour activer la Corbeille, cliquez à l'aide du bouton droit de la souris sur le domaine souhaité dans le nœud , puis sélectionnez . Désactiver la Corbeille Vous pouvez désactiver la Corbeille pour des domaines Microsoft Windows précis et des objets de ces domaines. Si une Corbeille désactivée contient des comptes, vous ne pouvez pas afficher, supprimer définitivement ou restaurer ces comptes. Vous devez être membre des groupes Administrateurs DRA ou Administrateurs assistants de Configuration DRA pour désactiver la Corbeille. Pour désactiver la Corbeille, cliquez à l'aide du bouton droit de la souris sur le domaine souhaité dans le nœud , puis sélectionnez . Configurer des objets de la Corbeille et le nettoyage Le réglage par défaut pour le nettoyage de la Corbeille est quotidien. Vous pouvez modifier cette configuration pour nettoyer la Corbeille du domaine tous les x jours. Au cours du nettoyage planifié, la Corbeille supprime les objets plus anciens que le nombre de jours que vous avez défini pour chaque type d'objet. Le réglage par défaut pour chaque type permet de supprimer les objets âgés de plus d'un jour. Vous pouvez personnaliser le comportement du nettoyage de la Corbeille en désactivant, en réactivant et en définissant l'âge des objets à supprimer pour chaque type d'objet. Pour configurer le nettoyage de la Corbeille, sélectionnez le domaine souhaité dans la console de délégation et de configuration et accédez à l'onglet > > . 6.3.14 Configurer la création des rapportsLes sections suivantes fournissent de l'information conceptuelle sur les rapports de gestion DRA et les collecteurs de rapports que vous pouvez activer. Pour accéder à l'assistant dans lequel vous pouvez configurer les collecteurs, allez dans > . Configurer le collecteur d'Active Directory Le collecteur d'Active Directory collecte un ensemble d'attributs spécifié à partir d'Active Directory pour chaque utilisateur, chaque groupe, chaque contact, chaque ordinateur, chaque unité organisationnelle et chaque groupe de distribution dynamique gérés dans DRA. Ces attributs sont stockés dans la base de données de rapports et sont utilisés pour générer des rapports dans la console de création de rapports. Vous pouvez configurer le collecteur d'Active Directory pour spécifier les attributs à collecter et à stocker dans la base de données de rapports. Vous pouvez également configurer le serveur d'administration DRA sur lequel le collecteur s'exécutera. Configurer DRA Collector DRA Collector collecte des informations sur votre configuration DRA et les stocke dans la base de données de rapports utilisée pour générer des rapports dans la console de création de rapports. Pour activer DRA Collector, vous devez spécifier le serveur d'administration DRA sur lequel le collecteur s'exécutera. Il est recommandé de planifier l'exécution de DRA Collector après le bon fonctionnement du collecteur Active Directory et pendant les périodes où le serveur est le moins chargé ou en dehors des heures normales de travail. Configurer le collecteur du locataire Azure Le collecteur du locataire Azure collecte des informations sur les utilisateurs et les groupes Azure qui sont synchronisés avec le locataire Azure Active Directory et stocke ces informations dans la base de données de rapports, qui est utilisée pour générer des rapports dans la console de création de rapports. Pour activer le collecteur du locataire Azure, vous devez spécifier le serveur d'administration DRA sur lequel le collecteur s'exécutera. NOTE:Le locataire Azure ne peut exécuter une collecte réussie qu'une fois que le collecteur Active Directory de son domaine correspondant a exécuté une collecte réussie. Configurer le collecteur de rapports de gestion Le collecteur de rapports de gestion collecte les informations d'audit DRA et les stocke dans la base de données de rapports utilisée pour générer des rapports dans la console de création de rapports. Lorsque vous activez le collecteur, vous pouvez configurer la fréquence de mise à jour des données dans la base de données pour les requêtes exécutées dans l'outil DRA Reporting. Cette configuration nécessite que le compte du Service DRA ait l'autorisation dans SQL Server sur le serveur de création de rapports. Les options configurables sont définies ci-dessous :
Rassembler les statistiques de dernière connexion Vous pouvez configurer DRA pour collecter les statistiques de dernière connexion de tous les contrôleurs de domaine du domaine géré. Pour activer et planifier la collecte des statistiques de dernière connexion, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines. Par défaut, la fonctionnalité de collecte des statistiques de dernière connexion est désactivée. Si vous souhaitez collecter les données statistiques de dernière connexion, vous devez activer cette fonctionnalité. Une fois que vous avez activé la collecte de statistiques de dernière connexion, vous pouvez afficher les statistiques de dernière connexion d'un utilisateur particulier ou afficher l'état de la collecte de statistiques de dernière connexion. Pour rassembler les statistiques de la dernière connexion :
6.3.15 Historique des modifications unifiéLa fonction d'historique des modifications unifiées vous permet de générer des rapports pour les modifications apportées en dehors de DRA. Délégation des pouvoirs de configuration du serveur d'historique des modifications unifiées Pour gérer l'historique des modifications unifiées, attribuez le rôle d'administration du serveur d'historique des modifications unifiées ou les pouvoirs applicables ci-dessous aux administrateurs assistants :
Pour déléguer les pouvoirs du serveur d'historique des modifications unifiées :
Configurer les serveurs d'historique des modifications unifié Pour configurer les serveurs de l'historique des modifications unifiées :
6.3.16 Délégation des pouvoirs de configuration du serveur d'automatisation de processus de travailPour gérer le processus de travail, attribuez le rôle d'administrateur du serveur d'automatisation du processus de travail ou les pouvoirs applicables ci-dessous aux administrateurs assistants :
Pour déléguer les pouvoirs de configuration du serveur d'automatisation de processus de travail :
6.3.17 Configuration du serveur d'automatisation du processus de travailPour utiliser l'automatisation de processus de travail dans DRA, vous devez installer le moteur de processus de travail sur un serveur Windows, puis configurer le serveur d'automatisation de processus de travail à l'aide de la console de délégation et de configuration. Pour configurer le serveur d'automatisation de processus de travail :
Pour obtenir de plus amples renseignements sur l'installation du moteur de processus de travail, consultez le Guide de l'administrateur de l'automatisation de processus de travail. 6.3.18 Délégation des pouvoirs de recherche LDAPDRA vous permet de rechercher des objets LDAP dans des domaines Active Directory locaux tels que des utilisateurs, des contacts, des ordinateurs, des groupes et des unités d'organisation à partir du serveur LDAP. Le serveur DRA gère toujours l'opération; c'est lui le contrôleur de domaine sur lequel la recherche est exécutée. Utilisez les filtres de recherche pour des recherches plus efficaces. Vous pouvez également enregistrer la requête de recherche pour une utilisation ultérieure et la partager avec le public ou l'utiliser pour votre propre compte en la marquant comme privée. Vous pouvez modifier les requêtes enregistrées. Le rôle Requêtes avancées LDAP accorde aux administrateurs assistants le pouvoir de créer et de gérer des requêtes de recherche LDAP. Utilisez les pouvoirs suivants pour déléguer la création et la gestion des requêtes de recherche LDAP :
Pour déléguer des pouvoirs de requête LDAP :
Pour accéder à la fonction de recherche dans la console Web, accédez à (Gestion > Recherche LDAP). 6.4 Configuration des services DRA pour un compte de service géré de groupeSi nécessaire, vous pouvez utiliser un compte de service géré de groupe (gMSA) pour les services DRA. Pour de plus amples renseignements sur l'utilisation d'un gMSA, consultez la référence Microsoft Présentation des comptes de services gérés de groupe. Cette section explique comment configurer DRA pour un compte de service de gestion de groupe après avoir préalablement ajouté le compte à Active Directory. IMPORTANT:N'utilisez pas le gMSA comme un compte de service lors de l'installation de DRA. Pour configurer le serveur d'administration primaire de DRA pour un gMSA :
Pour configurer le serveur d'administration secondaire de DRA pour un gMSA :
6.5 Configurer le client de délégation et de configurationLe client de délégation et de configuration fournit un accès aux tâches de configuration et de délégation, ce qui permet de répondre aux besoins de l'entreprise en matière de gestion, de l'administration distribuée à l'application des stratégies. La console de délégation et de configuration vous permet de configurer le modèle de sécurité et les configurations de serveur nécessaires pour gérer efficacement votre entreprise. Pour configurer le client de délégation et de configuration :
6.6 Configurer le client WebVous pouvez configurer l'authentification de la console Web afin d'utiliser des cartes à puce ou l'authentification multifacteur. Vous pouvez également personnaliser la marque avec votre propre logo et le titre de l'application.
6.6.1 Démarrer la console WebVous pouvez démarrer la console Web à partir de n’importe quel ordinateur, appareil iOS ou appareil Android exécutant un navigateur Web. Pour démarrer la console Web, spécifiez l'URL correspondante dans le champ d'adresse de votre navigateur Web. Par exemple, si vous avez installé le composant Web sur l’ordinateur HOUserver, tapez https://HOUserver/draclient dans le champ d'adresse de votre navigateur Web. NOTE:Pour afficher les informations les plus récentes sur le compte et sur Microsoft Exchange dans la Console Web, configurez votre navigateur Web pour qu'il vérifie les versions les plus récentes des pages mises en cache à chaque visite. 6.6.2 Déconnexion automatiqueVous pouvez définir un incrément de temps pour que la console Web se déconnecte automatiquement après un temps d'inactivité. Vous pouvez également la configurer pour qu'elle ne se déconnecte jamais automatiquement. Pour configurer la déconnexion automatique dans la console Web, accédez à > >. 6.6.3 Connexion au serveur DRAVous pouvez configurer l'une des trois options de la console Web pour définir les options de connexion au serveur DRA lors de l'ouverture de session. Une fois la configuration effectuée, la configuration de la connexion est identique pour les administrateurs et les administrateurs assistants dans le panneau déroulant lors de la connexion à la console Web.
Le comportement de chaque option lors de l'ouverture de session est décrit ci-dessous :
Pour configurer la connexion au serveur DRA dans la console Web, accédez à > >. 6.6.4 Connexion au serveur RESTLa configuration de la connexion au service REST comprend la définition d'un emplacement de serveur par défaut et d'un délai de connexion, en secondes. Vous pouvez configurer l'une des trois options de la console Web pour définir les options de connexion au service REST lors de l'ouverture de session. Une fois la configuration effectuée, la configuration de la connexion est identique pour les administrateurs et les administrateurs assistants dans le panneau déroulant lors de la connexion à la console Web.
Le comportement de chaque option lors de l'ouverture de session est décrit ci-dessous :
Pour configurer la connexion au serveur REST dans la console Web, accédez à > >. 6.6.5 AuthentificationCette section contient de l'information sur la configuration de l'authentification par carte à puce, de l'authentification Windows et de l'authentification multifacteur à l'aide de l'intégration de l'authentification avancée.
Authentification par carte à puce Pour configurer la console Web afin qu'elle accepte un utilisateur en fonction des informations d'identification de client de sa carte à puce, vous devez configurer les services Internet (IIS) et le fichier de configuration des services REST. IMPORTANT:Assurez-vous que les certificats de la carte à puce sont également installés dans le magasin de certificats racines du serveur Web, car IIS doit pouvoir rechercher des certificats correspondant à ceux de la carte.
Authentification Windows Pour activer l'authentification Windows sur la console Web, vous devez configurer les services Internet (IIS) et le fichier de configuration des services REST.
Authentification multifacteur avec Advanced Authentication AAF (Advanced Authentication Framework) est notre logiciel de premier plan qui vous permet d'aller au-delà de l'utilisation d'un simple nom d'utilisateur et d'un mot de passe et qui vous offre un moyen plus sécurisé de protéger vos informations sensibles grâce à l'authentification multifacteur. Advanced Authentication prend en charge les protocoles de communication suivants pour la sécurité :
L'authentification multifacteur est une méthode de contrôle d'accès d'ordinateur qui utilise plusieurs méthodes d'authentification à partir de catégories distinctes d'informations d'identification afin de vérifier l'identité d'un utilisateur. Il existe trois types de catégories d'authentification, ou facteurs :
Chaque facteur d'authentification contient au moins une méthode d'authentification. Une méthode d'authentification est une technique particulière que vous pouvez utiliser pour établir l'identité d'un utilisateur, par exemple en utilisant une empreinte digitale ou en demandant un mot de passe. Vous pouvez considérer un processus d'authentification fort s'il utilise plus d'un type de méthode d'authentification, par exemple s'il requiert un mot de passe et une empreinte digitale. Advanced Authentication prend en charge les méthodes d'authentification suivantes :
Utilisez l'information fournie dans les sections suivantes pour configurer la console Web afin qu'elle utilise une authentification à plusieurs facteurs. IMPORTANT:Certaines des étapes décrites dans les sections suivantes ont lieu dans la console Web, mais la majorité du processus de configuration de l’authentification multifacteur nécessite l’accès à AAF. Ces procédures supposent que vous avez déjà installé AAF et que vous avez accès à la documentation d’aide d’AAF. Ajouter des référentiels à Advanced Authentication Framework La première étape de la configuration de la console Web en vue de l’utilisation de l’authentification multifacteur est d'ajouter tous les domaines Active Directory contenant les administrateurs DRA et les administrateurs assistants gérés par DRA à AAF. Ces domaines s'appellent des référentiels et contiennent les attributs d'identité des utilisateurs et des groupes que vous souhaitez authentifier.
Créer des chaînes d'authentification Une chaîne d'authentification contient au moins une méthode d'authentification. Les méthodes de la chaîne sont invoquées dans l'ordre dans lequel elles ont été ajoutées à la chaîne. Pour qu'un utilisateur soit authentifié, il doit valider toutes les méthodes de la chaîne. Par exemple, vous pouvez créer une chaîne contenant la méthode Mot de passe LDAP et la méthode SMS. Lorsqu'un utilisateur essaie de s'authentifier à l'aide de cette chaîne, il doit d'abord s'authentifier à l'aide de son mot de passe LDAP, après quoi un message texte sera envoyé à son téléphone portable avec un mot de passe à usage unique. Après avoir saisi le mot de passe, toutes les méthodes de la chaîne seront validées et l'authentification réussira. Une chaîne d'authentification peut être attribuée à un utilisateur ou à un groupe précis. Pour créer une chaîne d'authentification :
Créer des événements d'authentification Un événement d'authentification est déclenché par une application, dans ce cas la console Web, qui souhaite authentifier un utilisateur. Au moins une chaîne d'authentification doit être affectée à l'événement pour que, lorsque l'événement est déclenché, les méthodes de la chaîne associée à l'événement soient appelées afin d'authentifier l'utilisateur. Un nœud d'extrémité est un périphérique réel, tel qu'un ordinateur ou un téléphone intelligent, qui exécute le logiciel qui déclenche l'événement d'authentification. DRA enregistre le point d'extrémité auprès d'AAF après la création de l'événement. Vous pouvez utiliser la liste blanche des points d'extrémité pour restreindre l'accès à un événement à des points d'extrémité précis, ou vous pouvez autoriser tous les points d'extrémité à accéder à l'événement. Pour créer un événement d'authentification :
Activer la console Web Après avoir configuré les chaînes et les événements, vous pouvez vous connecter à la console Web en tant qu'administrateur et activer Advanced Authentication. Une fois l'authentification activée, chaque utilisateur devra s'authentifier en utilisant AAF, pour pouvoir accéder à la console Web. IMPORTANT:Avant d'activer la console Web, vous devez déjà être inscrit aux méthodes d'authentification que celle-ci utilisera pour authentifier les utilisateurs. Consultez le Guide de l'utilisateur d'Advanced Authentication Framework pour savoir comment s'inscrire à des méthodes d'authentification. Pour activer Advanced Authentication, connectez-vous à la console Web et accédez à > > . Cochez la case et configurez le formulaire conformément aux instructions fournies pour chaque champ. HINT:Une fois la configuration enregistrée, le point d'extrémité sera créé dans AAF. Pour l'afficher ou le modifier, connectez-vous au portail d'administration AAF avec un nom d'utilisateur et un mot de passe de niveau administrateur, puis cliquez sur dans le volet de gauche. Étapes finales
7.0 Connecter des systèmes gérésCette section fournit de l'information sur la connexion et la configuration de systèmes gérés relatifs aux domaines et aux composants Microsoft Exchange, notamment les dossiers publics, Exchange, Office 365 et Skype Entreprise Online. 7.1 Gérer des domaines Active DirectoryVous pouvez ajouter de nouveaux domaines gérés et des ordinateurs par le client de délégation et de configuration après avoir installé le serveur d'administration. Vous pouvez également ajouter des sous-arborescences et des domaines approuvés et configurer pour eux des comptes d'accès au domaine et à Exchange. Pour ajouter des domaines gérés et des ordinateurs, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines. NOTE:Une fois l'ajout des domaines gérés terminé, assurez-vous que les planifications d'actualisation du cache des comptes pour ces domaines sont correctes.
7.1.1 Ajouter des domaines et des ordinateurs gérésPour ajouter un domaine ou un ordinateur géré :
7.1.2 Spécifier les comptes d'accès de domainePour chaque domaine ou sous-arborescence gérée, vous pouvez spécifier un compte à utiliser à la place du compte de service du serveur d'administration pour accéder à ce domaine. Ce compte de remplacement est appelé compte d'accès. Pour configurer un compte d'accès, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines. Pour spécifier un compte d'accès pour un serveur membre, vous devez avoir l'autorisation de gérer le domaine dans lequel le membre de domaine se trouve. Vous ne pouvez gérer les membres du domaine que s'ils se trouvent dans un domaine géré auquel vous pouvez accéder par le serveur d'administration. Pour spécifier un compte d'accès :
Pour obtenir de plus amples renseignements sur la configuration de ce compte disposant des droits d'accès minimaux, consultez Comptes d'accès DRA de droit d'accès minimal. 7.1.3 Spécifier les comptes d'accès ExchangePour chaque domaine dans DRA, vous pouvez gérer des objets Exchange à l'aide du compte d'accès au domaine DRA ou d'un compte d'accès Exchange distinct. Pour configurer un compte d'accès Exchange, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines. IMPORTANT:Microsoft Server limite le nombre d'utilisateurs simultanés connectés à la session WinRM/WinRS à cinq et le nombre de shells par utilisateur à cinq. Assurez-vous donc que le même compte d'utilisateur est limité à cinq shells pour les serveurs secondaires DRA. Pour spécifier un compte d'accès Exchange :
Pour obtenir de plus amples renseignements sur la configuration de ce compte disposant des droits d'accès minimaux, consultez . 7.1.4 Ajouter une sous-arborescence géréeVous pouvez ajouter des sous-arborescences gérées et manquantes à partir de domaines Microsoft Windows précis après avoir installé le serveur d'administration. Pour ajouter une sous-arborescence gérée, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines. Pour obtenir de plus amples renseignements sur les versions prises en charge de Microsoft Windows, consultez Serveur d'administration DRA, console Web et exigences des extensions REST. En gérant une sous-arborescence d'un domaine Windows, vous pouvez utiliser DRA pour sécuriser un service ou une division au sein d'un domaine d'entreprise plus étendu. Par exemple, vous pouvez spécifier la sous-arborescence Houston dans le domaine SOUTHWEST , permettant à DRA de gérer de manière sécurisée uniquement les objets contenus dans l'unité organisationnelle Houston et ses unités organisationnelles enfants. Cette flexibilité vous permet de gérer une ou plusieurs sous-arborescences sans avoir besoin d'autorisations administratives pour l'ensemble du domaine. NOTE:
Pour ajouter une sous-arborescence gérée :
7.1.5 Ajouter un domaine approuvéLes domaines approuvés permettent l'authentification des utilisateurs sur les systèmes gérés dans votre environnement géré. Une fois que vous avez ajouté un domaine approuvé, vous pouvez spécifier des comptes d’accès au domaine et Exchange, planifier l’actualisation du cache et entreprendre d’autres actions dans les propriétés du domaine, comme dans un domaine géré. Pour ajouter un domaine approuvé :
NOTE:L'ajout d'un domaine approuvé déclenchera une actualisation complète du cache des comptes, mais vous en serez averti par une invite de confirmation lorsque vous cliquez sur . 7.2 Configurer DRA pour l'exécution de Secure Active DirectorySecure Active Directory est défini par un environnement DRA qui est configuré pour fonctionner en utilisant le protocole LDAPS (LDAP sur SSL) pour chiffrer les communications entre DRA et Active Directory afin de fournir un environnement plus sûr. Lors de la mise à niveau vers une version 10.x de DRA à partir d'une version 9.x, LDAPS doit être activé après la mise à niveau pour utiliser Secure Active Directory. La fonction de découverte automatique pour la détection et la connexion aux serveurs DRA et REST doit également être configurée pour cette fonction. 7.2.1 Activer le protocole LDAP sur SSL (LDAPS)Si vous passez d'une version 9.x à la version 10.x de DRA, suivez les étapes ci-dessous. Si vous configurez DRA pour une nouvelle installation, consultez la rubrique Ajouter des domaines et des ordinateurs gérés.
7.2.2 Configurer la découverte automatique pour LDAPSLa découverte automatique est le mécanisme utilisé par le client pour se connecter automatiquement à l'environnement DRA disponible. Pour configurer DRA pour un environnement exécutant Secure Active Directory, configurez la clé de registre ClientSSLAllDomains :
7.3 Connecter des dossiers publicsDRA vous permet de gérer les dossiers publics Microsoft Exchange. Vous pouvez gérer certaines propriétés des dossiers publics à l'aide de DRA en configurant des domaines de forêt des dossiers publics et en accordant des pouvoirs aux administrateurs assistants. IMPORTANT:Pour gérer l'administration des dossiers publics, vous devez d'abord activer la prise en charge de Microsoft Exchange dans DRA et disposer des pouvoirs applicables.
Pour configurer la prise en charge des dossiers publics Exchange :
NOTE:Vous pouvez supprimer un domaine de forêt de dossiers publics sélectionné à partir du menu ou du menu contextuel. 7.3.1 Afficher et modifier les propriétés d'un domaine de dossier publicPour afficher ou modifier les propriétés du domaine de dossiers publics :
7.3.2 Délégation des pouvoirs de dossiers publicsUtilisez les ActiveViews pour définir les pouvoirs et gérer la délégation de dossiers publics. Vous pouvez spécifier des règles pour ajouter des objets gérés, choisir des domaines et attribuer des pouvoirs, puis déléguer ces pouvoirs de dossiers publics à des administrateurs assistants. Pour créer une ActiveView et déléguer des pouvoirs de dossier public :
Une fois la délégation des pouvoirs sur les dossiers publics terminée, les utilisateurs autorisés pourront effectuer des opérations de création, de lecture, de mise à jour et de suppression sur les propriétés des dossiers publics dans des domaines configurés à l'aide de la console Web. 7.4 Activer Microsoft ExchangeL'activation de Microsoft Exchange vous permet d'exploiter les fonctionnalités d'Exchange et d'Exchange Online, notamment les stratégies Microsoft Exchange, la boîte aux lettres intégrée et la gestion des objets à extension messagerie. Vous pouvez activer ou désactiver la prise en charge de Microsoft Exchange sur chaque serveur d'administration pour Microsoft Exchange Server 2013 et les versions ultérieures. Pour activer Exchange, vous devez disposer des privilèges requis, tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation, et votre licence doit prendre en charge le produit Exchange. Pour de plus amples renseignements sur les exigences de Microsoft Exchange, consultez la rubrique Plateformes prises en charge.
Pour permettre la prise en charge de Microsoft Exchange et d'Exchange Online :
7.5 Configurer les locataires AzureAvec un compte Azure actif et un ou plusieurs locataires Azure, vous pouvez configurer DRA pour qu'il fonctionne avec Azure Active Directory afin de gérer les objets des utilisateurs et des groupes. Ces objets comprennent les utilisateurs et les groupes créés dans Azure et les utilisateurs et les groupes synchronisés avec le locataire Azure à partir des domaines gérés par DRA. Les modules Azure PowerShell, Azure Active Directory et Azure Resource Manager Profile sont nécessaires pour gérer les tâches Azure. Vous avez également besoin d'un compte dans Azure Active Directory. Pour de plus amples renseignements sur les autorisations du compte d'accès du locataire Azure, consultez la rubrique Comptes d'accès DRA de droit d'accès minimal. IMPORTANT:Les opérations sur les objets Azure telles que la création, la modification, la suppression, la désactivation et l'activation ne sont pas prises en charge dans la console de délégation et de configuration.
7.5.1 Délégation des rôles et des pouvoirsVous pouvez utiliser l'administrateur DRA ou un administrateur assistant avec le rôle délégué « Configurer les serveurs et les domaines » pour gérer les locataires Azure; les rôles intégrés Azure sont requis pour gérer les objets Azure. Rôles intégrés AzurePour déléguer des objets Azure, attribuez les rôles Azure suivants :
Pouvoirs AzureUtilisez les pouvoirs suivants pour déléguer la création et la gestion des utilisateurs et des groupes Azure. Pouvoirs du compte d’utilisateur Azure :
Pouvoirs de groupe Azure :
Pour gérer les propriétés de niveau granulaire pour les utilisateurs ou les groupes Azure, vous pouvez créer des pouvoirs personnalisés en sélectionnant les attributs d'objet spécifiés. Objets Azure pris en chargeLes types de groupes Azure suivants sont pris en charge :
NOTE:Les utilisateurs invités créés dans Azure ne sont pas pris en charge. 7.5.2 Création d'une application Azure et ajout d'un locataire AzurePour gérer un nouveau locataire Azure, ajoutez le nouveau locataire en remplissant une application Azure dans la console de délégation et de configuration. DRA prend en charge la création de l'application Azure à la fois en ligne et hors ligne et nécessite une application Azure avec les autorisations suivantes pour gérer les objets dans le locataire :
Ces autorisations seront accordées automatiquement à l'application Azure, tant en ligne que hors ligne. Pour créer une application Azure en ligne et pour ajouter un locataire :
Pour créer une application Azure hors ligne pour DRA et ajouter un locataire :
7.5.3 Réinitialisation du mot de passe d'une application AzureSuivez les étapes ci-dessous si vous devez réinitialiser un mot de passe Azure, que ce soit en ligne ou hors ligne, selon le cas écheant. Pour réinitialiser un mot de passe d'application Azure pour DRA à l'aide des informations d'identification Azure :
Pour réinitialiser le mot de passe d'une application Azure pour DRA hors ligne :
IV Modèle de délégationDRA permet aux administrateurs d'implémenter un schéma d'autorisations avec un « droit d'accès minimal » en fournissant un ensemble flexible de paramètres permettant d'octroyer des pouvoirs granulaires à des objets gérés précis dans l'entreprise. Grâce à ces délégations, les administrateurs peuvent s’assurer que les administrateurs assistants reçoivent uniquement les autorisations nécessaires pour s’acquitter de leurs rôles et de leurs responsabilités précises.
8.0 Comprendre le modèle de délégation dynamiqueDRA vous permet de gérer l'accès administratif à votre entreprise dans le contexte d'un modèle de délégation. Le modèle de délégation vous permet de configurer un accès avec un « droit d'accès minimal » pour les administrateurs assistants grâce à un ensemble dynamique de paramètres pouvant s'adapter à l'évolution et au changement de l'entreprise. Le modèle de délégation fournit un contrôle d'accès administratif qui représente plus fidèlement le fonctionnement de votre entreprise en :
8.1 Paramètres du modèle de délégationLes administrateurs utilisent les paramètres suivants pour provisionner l'accès par le modèle de délégation :
8.2 Traitement des requêtes par DRALorsque le serveur d'administration reçoit une requête pour une action, telle que la modification d'un mot de passe utilisateur, il utilise le processus suivant :
8.3 Exemples de traitement des attributions de délégation par DRALes exemples suivants décrivent des scénarios courants rencontrés dans la façon dont DRA évalue le modèle de délégation lors du traitement d'une requête : 8.3.1 Exemple 1 : Modification du mot de passe d’un utilisateurLorsqu'un administrateur assistant tente de définir un nouveau mot de passe pour le compte d’utilisateur JSmith, le serveur d'administration trouve tous les ActiveViews incluant JSmith. Cette opération recherche tout ActiveView qui spécifie JSmith directement, par une règle générique ou par l'adhésion à un groupe. Si un ActiveView inclut d’autres ActiveView, le serveur d’administration recherche également ces ActiveView supplémentaires. Le serveur d'administration détermine si l'administrateur assistant dispose du pouvoir Réinitialiser le mot de passe du compte d’utilisateur dans l'un de ces ActiveViews. Si l'administrateur assistant dispose du pouvoir Réinitialiser le mot de passe du compte d’utilisateur, le serveur d'administration réinitialise le mot de passe pour JSmith. S'il ne dispose pas de ce pouvoir, le serveur d'administration n'accède pas à la requête. 8.3.2 Exemple 2 : Superposition d'ActiveViewUn pouvoir définit les propriétés d'un objet qu'un administrateur assistant peut afficher, modifier ou créer dans votre domaine géré ou votre sous-arborescence gérée. Plus d'un ActiveView peut inclure le même objet. Cette configuration s'appelle Chevauchement d'ActiveView. Lorsque des ActiveView se chevauchent, vous pouvez accumuler un ensemble de pouvoirs différents sur les mêmes objets. Par exemple, si un ActiveView vous permet d'ajouter un compte d’utilisateur à un domaine et qu'un autre ActiveView vous permet de supprimer un compte d’utilisateur du même domaine, vous pouvez ajouter ou supprimer des comptes d’utilisateurs dans ce domaine. De cette façon, les pouvoirs que vous avez sur un objet donné sont cumulatifs. Il est important de comprendre comment des ActiveView peuvent se chevaucher, ce qui vous octroie des pouvoirs accrus sur les objets inclus dans ces ActiveView. Considérons la configuration d'ActiveView illustrée dans la figure suivante. Les onglets blancs indiquent les ActiveView par emplacement, New York et Houston. Les onglets noirs indiquent les ActiveView selon leur fonction organisationnelle, Ventes et Marketing. Les cellules indiquent les groupes inclus dans chaque ActiveView. Le groupe NYC_Ventes et le groupe HOU_Ventes sont tous deux représentés dans l'ActiveView des Ventes. Si disposez des pouvoirs dans ActiveView des ventes, vous pouvez gérer n’importe quel membre des groupes NYC_Ventes et HOU_Ventes. Si vous disposez également des pouvoirs dans ActiveView de New York, ces pouvoirs supplémentaires s'appliquent au groupe NYC_Marketing. De cette manière, les pouvoirs s’accumulent lorsque les ActiveView se chevauchent. Le chevauchement d’ActiveView peut fournir un modèle de délégation puissant et flexible. Cependant, cette fonctionnalité peut également avoir des conséquences inattendues. Planifiez soigneusement vos ActiveViews pour vous assurer que chaque administrateur assistant possède uniquement les pouvoirs définis par vous sur chaque compte d’utilisateur, groupe, unité organisationnelle, contact ou ressource. Groupes dans plusieurs ActiveView Dans cet exemple, le groupe NYC_Ventes est représenté dans plusieurs ActiveView. Les membres du groupe NYC_Ventes sont représentés dans ActiveView de New York, car le nom du groupe correspond à la règle d'ActiveView NYC_* . Le groupe figure également dans ActiveView des ventes, car son nom correspond à la règle d'ActiveView *_Ventes. En incluant le même groupe dans plusieurs ActiveView, vous pouvez permettre à différents administrateurs assistants de gérer les mêmes objets différemment. Utiliser des pouvoirs dans plusieurs ActiveView Supposons qu'un administrateur assistant, JSmith, dispose du pouvoir Modifier les propriétés générales de l'utilisateur dans ActiveView de New York. Ce premier pouvoir permet à JSmith de modifier toutes les propriétés de l’onglet Général de la fenêtre des propriétés de l’utilisateur. JSmith dispose du pouvoir Modifier les propriétés du profil utilisateur dans ActiveView des ventes. Ce deuxième pouvoir permet à JSmith de modifier toutes les propriétés de l’onglet Profil de la fenêtre des propriétés de l’utilisateur. La figure suivante indique les pouvoirs de JSmith pour chaque groupe. JSmith dispose des pouvoirs suivants :
La délégation de pouvoir dans ces ActiveView qui se chevauchent permet à JSmith de modifier les propriétés de Général et de Profil du groupe NYC_Ventes. Ainsi, JSmith dispose de tous les pouvoirs accordés dans toutes les ActiveView représentant le groupe NYC_Ventes. 9.0 ActiveViewActiveView vous permet d'implémenter un modèle de délégation doté des fonctionnalités suivantes :
Un ActiveView représente un ensemble d’objets appartenant à un ou plusieurs domaines gérés. Vous pouvez inclure un objet dans plusieurs ActiveView. Vous pouvez également inclure de nombreux objets provenant de plusieurs domaines ou unités organisationnelles. 9.1 ActiveView intégréesLes ActiveView intégrées sont les ActiveView par défaut fournies par DRA. Ces ActiveView représentent tous les objets et tous les paramètres de sécurité actuels. Ainsi, les ActiveView intégrées offrent un accès immédiat à tous vos objets et paramètres, ainsi qu'au modèle de délégation par défaut. Vous pouvez utiliser ces ActiveViews pour gérer des objets, tels que des comptes d’utilisateurs et des ressources, ou pour appliquer le modèle de délégation par défaut à votre configuration d'entreprise actuelle. DRA offre plusieurs ActiveView intégrées pouvant représenter votre modèle de délégation. Le nœud ActiveView intégrée contient les ActiveView suivants : Tous les objets Inclut tous les objets dans tous les domaines gérés. Grâce à cet ActiveView, vous pouvez gérer n’importe quel aspect de votre entreprise. Attribuez cet ActiveView à l'administrateur ou à un administrateur assistant qui a besoin de pouvoirs d'audit dans l'entreprise. Objets que l'utilisateur actuel gère en tant qu'administrateur WindowsObjets que l'utilisateur actuel gère en tant qu'administrateur Windows. Grâce à cet ActiveView, vous pouvez gérer des comptes d’utilisateurs, des groupes, des contacts, des unités organisationnelles et des ressources. Attribuez cet ActiveView aux administrateurs natifs responsables des objets de compte et de ressource du domaine géré. Serveurs d'administration et domaines gérésComprend les ordinateurs du serveur d'administration et les domaines gérés. Grâce à cet ActiveView, vous pouvez gérer la maintenance quotidienne de vos serveurs d’administration. Attribuez cet ActiveView à des administrateurs assistants dont les tâches consistent notamment à surveiller l'état de la synchronisation ou à rafraîchir le cache. Stratégies DRA et déclencheurs d'automatisationInclut tous les objets de stratégie et les déclencheurs d'automatisation dans tous les domaines gérés. Grâce à cet ActiveView, vous pouvez gérer les propriétés et l'étendue de la stratégie, ainsi que les propriétés du déclencheur d'automatisation. Attribuez cet ActiveView aux administrateurs assistants responsables de la création et de la maintenance des stratégies de votre entreprise. Objets de sécurité DRAInclut tous les objets de sécurité. Grâce à cet ActiveView, vous pouvez gérer des ActiveViews, des groupes d'administrateurs assistants et des rôles. Attribuez cet ActiveView aux administrateurs assistants responsables de la création et de la maintenance de votre modèle de sécurité. Utilisateurs de SPA de tous les domaines gérés et approuvésInclut tous les comptes d’utilisateurs des domaines gérés et approuvés. Grâce à cet ActiveView, vous pouvez gérer les mots de passe utilisateur grâce à Secure Password Administrator (SPA). 9.1.1 Accéder aux ActiveView intégréesAccédez aux ActiveView intégrées pour auditer le modèle de délégation par défaut ou pour gérer vos propres paramètres de sécurité. Pour accéder aux ActiveView intégrées :
9.1.2 Utiliser les ActiveView intégréesVous ne pouvez pas supprimer, cloner ou modifier des ActiveView intégrées. Cependant, vous pouvez incorporer ces ActiveView dans votre modèle de délégation existant ou utiliser ces ActiveView pour concevoir votre propre modèle. Vous pouvez utiliser les ActiveView intégrées des manières suivantes :
Pour obtenir de plus amples renseignements sur la conception d'un modèle de délégation dynamique, consultez Comprendre le modèle de délégation dynamique. 9.2 Implémenter un ActiveView personnaliséUn ActiveView donne accès en temps réel à des objets spécifiques dans un ou plusieurs domaines ou unités organisationnelles. Vous pouvez ajouter ou supprimer des objets d'un ActiveView sans modifier le domaine sous-jacent ou la structure d'unité organisationnelle. Vous pouvez voir un ActiveView comme un domaine virtuel ou une unité organisationnelle ou encore les résultats d'une instruction select ou de l'affichage d'une base de données relationnelle. Les ActiveView peuvent inclure ou exclure tout ensemble d'objets, contenir d'autres ActiveView et avoir des contenus qui se chevauchent. Les ActiveView peuvent contenir des objets de différents domaines, des arborescences et des forêts. Vous pouvez configurer les ActiveView pour répondre à tout besoin de gestion d'entreprise. Les ActiveView peuvent inclure les types d'objet suivants : Comptes :
Objets de répertoire :
Objets de délégation :
Ressources :
Objets Azure :
À mesure que votre entreprise change ou se développe, les ActiveView changent afin d'inclure ou d'exclure les nouveaux objets. Ainsi, vous pouvez utiliser les ActiveView pour réduire la complexité de votre modèle, fournir la sécurité dont vous avez besoin et offrir une flexibilité bien supérieure à celle des autres outils d'organisation d'entreprise. 9.2.1 Règles ActiveViewUn ActiveView peut comprendre des règles qui incluent ou excluent des objets tels que des comptes d’utilisateurs, des groupes, des unités organisationnelles, des contacts, des ressources, des ordinateurs, des boîtes aux lettres de ressources, des boîtes aux lettres partagées, des groupes de distribution dynamiques et des ActiveViews. Cette flexibilité rend les ActiveView dynamiques. Ces correspondances sont appelées caractères jokers. Par exemple, vous pouvez définir une règle pour inclure tous les ordinateurs dont le nom correspond à DOM*. Cette spécification de caractère joker recherchera tout compte d'ordinateur dont le nom commence par la chaîne de caractères DOM. La correspondance de caractère joker rend l'administration dynamique, car les comptes sont automatiquement inclus lorsqu'ils correspondent à la règle. Ainsi, lorsque vous utilisez des caractères jokers, vous n'avez pas besoin de reconfigurer les ActiveView à mesure que votre organisation change. Un autre exemple consiste à définir les ActiveViews en fonction de l'adhésion à un groupe. Vous pouvez définir une règle incluant tous les membres des groupes commençant par les lettres NYC. Ensuite, lorsque des membres sont ajoutés à tout groupe correspondant à cette règle, ces membres sont automatiquement inclus dans cet ActiveView. À mesure que votre entreprise change ou se développe, DRA réapplique les règles pour inclure ou exclure les nouveaux objets dans les ActiveView appropriés. 10.0 RôlesCette section comprend une liste avec des descriptions des rôles qui sont intégrés à DRA; elle indique comment utiliser ces rôles et donne de l'information sur la création et la gestion des rôles personnalisés. Pour obtenir une description des rôles et de leur utilisation en général, consultez Paramètres du modèle de délégation.
10.1 Rôles intégrésLes rôles d'administrateurs assistants intégrés fournissent un accès immédiat à un ensemble de pouvoirs régulièrement utilisés. Vous pouvez étendre votre configuration de sécurité actuelle en utilisant ces rôles par défaut pour déléguer le pouvoir à des comptes d’utilisateurs précis ou à d'autres groupes. Ces rôles contiennent les pouvoirs nécessaires pour effectuer des tâches d'administration courantes. Par exemple, le rôle d'administration DRA contient tous les pouvoirs nécessaires à la gestion des objets. Toutefois, pour utiliser ces pouvoirs, le rôle doit être associé à un compte d’utilisateur ou à un groupe d'administrateurs assistants et à l'ActiveView géré. Les rôles intégrés faisant partie du modèle de délégation par défaut, vous pouvez les utiliser pour déléguer rapidement le pouvoir et mettre en œuvre la sécurité. Ces rôles intégrés traitent des tâches courantes que vous pouvez effectuer à l'aide des interfaces utilisateur DRA. La liste suivante décrit chaque rôle intégré et résume les pouvoirs qui lui sont associés. Administrer les serveurs d'applications Fournit les pouvoirs nécessaires pour configurer, afficher et supprimer les configurations de serveur d'applications. Auditer tous les objetsFournit tous les pouvoirs nécessaires pour afficher les propriétés des objets, des stratégies et des configurations de votre entreprise. Ce rôle ne permet pas à un administrateurs assistants de modifier des propriétés. Attribuez ce rôle aux administrateurs assistants responsables des activités d'audit dans votre entreprise. Il permet aux administrateurs assistants d'afficher tous les nœuds, à l'exception du nœud Outils personnalisés. Auditer les certaines propriétés de compte et de ressourceFournit des pouvoirs pour toutes les propriétés d'objet. Auditer les ressourcesFournit tous les pouvoirs nécessaires pour afficher les propriétés des ressources gérées. Attribuez ce rôle aux administrateurs assistants responsables de l'audit des objets de ressources. Auditer les utilisateurs et les groupesFournit tous les pouvoirs nécessaires pour afficher les propriétés du compte d’utilisateur et du groupe, mais aucun pouvoir pour modifier ces propriétés. Attribuez ce rôle aux administrateurs assistants responsables de l'audit des propriétés de compte. Administration des groupes AzureFournit tous les pouvoirs nécessaires pour gérer les groupes Azure et l'adhésion à un groupe Azure. Administration des utilisateurs AzureFournit tous les pouvoirs nécessaires pour créer, modifier, supprimer, activer, désactiver et afficher les propriétés de la gestion de l'utilisateur Azure. Attribuez ce rôle aux administrateurs assistants responsables de la gestion de l'utilisateur Azure. Planificateur intégré - Pour usage interne uniquementFournit les pouvoirs de planifier le moment de l'actualisation du cache par DRA. Cloner un utilisateur avec une boîte aux lettresFournit tous les pouvoirs nécessaires pour cloner un compte d'utilisateur existant avec la boîte aux lettres du compte. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des comptes d’utilisateurs. NOTE:Pour autoriser l'administrateur assistant à ajouter le nouveau compte d’utilisateur à un groupe lors de la tâche de clonage, attribuez-lui également le rôle Gérer les adhésions aux groupes. Administration de l'ordinateurFournit tous les pouvoirs nécessaires pour modifier les propriétés de l'ordinateur. Ce rôle permet aux administrateurs assistants d'ajouter, de supprimer et d'éteindre des ordinateurs, ainsi que de synchroniser les contrôleurs de domaine. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des ordinateurs dans l'ActiveView. Configurer les serveurs et les domainesFournit tous les pouvoirs nécessaires pour modifier les options du serveur d'administration et les domaines gérés. Fournit également les pouvoirs nécessaires pour configurer et gérer les locataires. Attribuez ce rôle aux administrateurs assistants responsables de la surveillance et de la maintenance des serveurs d'administration et de la gestion des locataires Azure. Administration des contactsFournit tous les pouvoirs nécessaires pour créer un nouveau contact, modifier ses propriétés ou supprimer un contact. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des contacts. Créer et supprimer des comptes d'ordinateurFournit tous les pouvoirs nécessaires pour créer et supprimer un compte d'ordinateur. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des ordinateurs. Créer et supprimer des groupesFournit tous les pouvoirs nécessaires pour créer et supprimer un groupe. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des groupes. Créer et supprimer une boîte aux lettres de ressourcesFournit tous les pouvoirs nécessaires pour créer et supprimer une boîte aux lettres. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des boîtes aux lettres. Créer et supprimer des ressourcesFournit tous les pouvoirs nécessaires pour créer et supprimer des partages et des comptes d’ordinateur, ainsi que pour effacer les journaux des événements. Attribuez ce rôle aux AA responsables de la gestion des objets ressources et des journaux d'événements. Créer et supprimer des comptes d’utilisateursFournit tous les pouvoirs nécessaires pour créer et supprimer un compte d’utilisateur. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des comptes d’utilisateurs. Administration de DRADonne tous les pouvoirs à un administrateur assistant. Ce rôle donne à un utilisateur les autorisations nécessaires pour effectuer toutes les tâches d'administration dans DRA. Ce rôle équivaut aux autorisations d'un administrateur. Un administrateur assistant associé au rôle d'administration de DRA peut accéder à tous les nœuds de Directory et Resource Administrator. Administration de groupe dynamiqueFournit tous les pouvoirs nécessaires pour gérer les groupes dynamiques Active Directory. Exécuter des requêtes avancéesFournit tous les pouvoirs nécessaires pour exécuter des requêtes avancées enregistrées. Attribuez ce rôle aux administrateurs assistants responsables de l'exécution des requêtes avancées. Administration de groupeFournit tous les pouvoirs nécessaires pour gérer les groupes et les adhésions aux groupes, ainsi que pour afficher les propriétés utilisateur correspondantes. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des groupes ou des objets de compte et de ressources gérés par le biais de groupes. Administration du service d'assistanceFournit tous les pouvoirs nécessaires pour afficher les propriétés du compte d'utilisateur et pour modifier les mots de passe et les propriétés associées aux mots de passe. Ce rôle permet également aux administrateurs assistants de désactiver, d’activer et de déverrouiller les comptes d’utilisateurs. Attribuez ce rôle aux administrateurs assistants responsables des tâches d'assistance afin de veiller à ce que les utilisateurs aient un accès correct à leurs comptes. Administration de boîte aux lettresFournit tous les pouvoirs nécessaires pour gérer les propriétés de boîte aux lettres Microsoft Exchange. Si vous utilisez Microsoft Exchange, attribuez ce rôle aux administrateurs assistants responsables de la gestion des boîtes aux lettres Microsoft Exchange. Gérer les collecteurs Active Directory, les collecteurs DRA et les collecteurs de rapports de gestionFournit tous les pouvoirs nécessaires pour gérer les collecteurs Active Directory, les collecteurs DRA et les collecteurs de création de rapports de gestion pour la collecte de données. Attribuez ce rôle aux administrateurs assistants responsables de la gestion de la configuration de la création de rapports. Gérer les collecteurs Active Directory, les collecteurs DRA, les collecteurs de création de rapports de gestion et la configuration de la base de donnéesFournit tous les pouvoirs nécessaires pour gérer les collecteurs Active Directory, les collecteurs DRA, les collecteurs de création de rapports de gestion et la configuration de la base de données pour la collecte de données. Attribuez ce rôle aux administrateurs assistants responsables de la gestion de la création des rapports et de la configuration de la base de données. Gérer les requêtes avancéesFournit tous les pouvoirs nécessaires pour créer, gérer et exécuter des requêtes avancées. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des requêtes avancées. Gérer et exécuter des outils personnalisésFournit tous les pouvoirs nécessaires pour créer, gérer et exécuter des outils personnalisés. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des outils personnalisés. Gérer les exceptions de clonageFournit tous les pouvoirs nécessaires pour créer et gérer des exceptions de clonage. Gérer les propriétés de l'ordinateurFournit tous les pouvoirs nécessaires pour gérer toutes les propriétés d'un compte d'ordinateur. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des ordinateurs. Gérer la configuration de la base de donnéesFournit tous les pouvoirs nécessaires pour gérer la configuration de la base de données pour la création de rapports de gestion. Attribuez ce rôle aux administrateurs assistants responsables de la gestion de la configuration de la base de données de création de rapports. Gérer des groupes de distribution dynamiquesFournit tous les pouvoirs nécessaires pour gérer les groupes de distribution dynamiques Microsoft Exchange. Gérer les droits de la boîte aux lettres ExchangeFournit tous les pouvoirs nécessaires pour gérer la sécurité et les droits des boîtes aux lettres Microsoft Exchange. Si vous utilisez Microsoft Exchange, attribuez ce rôle aux administrateurs assistants responsables de la gestion des autorisations pour les boîtes aux lettres Microsoft Exchange. Gérer le courriel du groupeFournit tous les pouvoirs nécessaires pour afficher, activer ou désactiver l'adresse électronique d'un groupe. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des groupes ou des adresses de courriel pour les objets de compte. Gérer la sécurité de l'adhésion à un groupeFournit tous les pouvoirs nécessaires pour désigner qui peut afficher et modifier l'adhésion à un groupe Microsoft Windows par Microsoft Outlook. Gérer les adhésions à un groupeFournit tous les pouvoirs nécessaires pour ajouter et supprimer des comptes d’utilisateurs ou des groupes d'un groupe existant et afficher le groupe primaire d'un compte d’utilisateur ou d'un compte d'ordinateur. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des comptes d’utilisateurs ou de groupe. Gérer les propriétés de groupeFournit tous les pouvoirs nécessaires pour gérer toutes les propriétés d'un groupe. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des groupes. Gérer les requêtes de déplacement de boîte aux lettresFournit tous les pouvoirs nécessaires pour gérer les requêtes de déplacement de boîte aux lettres. Gérer les stratégies et les déclencheurs d'automatisationFournit tous les pouvoirs nécessaires pour définir les stratégies et les déclencheurs d'automatisation. Attribuez ce rôle aux administrateurs assistants responsables de la mise à jour des stratégies de l'entreprise et de l'automatisation des processus de travail. Gérer les imprimantes et les travaux d'impressionFournit tous les pouvoirs nécessaires pour gérer les imprimantes, les files d'attente et les travaux d'impression. Pour gérer les travaux d'impression associés à un compte d’utilisateur, le travail d'impression et le compte d’utilisateur doivent être inclus dans le même ActiveView. Attribuez ce rôle aux administrateurs assistants responsables de la maintenance des imprimantes et de la gestion des travaux d'impression. Gérer les propriétés des boîtes aux lettres de ressourcesFournit tous les pouvoirs nécessaires pour gérer toutes les propriétés d'une boîte aux lettres. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des boîtes aux lettres. Gérer les ressources pour les utilisateurs gérésFournit tous les pouvoirs nécessaires pour gérer les ressources associées à des comptes d’utilisateurs précis. L'administrateur assistant et les comptes d’utilisateurs doivent être inclus dans le même ActiveView. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des objets de ressources. Gérer le modèle de sécuritéFournit tous les pouvoirs nécessaires pour définir les règles d'administration, y compris les ActiveViews, les administrateurs assistants et les rôles. Attribuez ce rôle aux administrateurs assistants responsables de la mise en œuvre et de la maintenance de votre modèle de sécurité. Gérer les servicesFournit tous les pouvoirs nécessaires pour gérer les services. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des services. Gérer les dossiers partagésFournit tous les pouvoirs nécessaires pour gérer les dossiers partagés. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des dossiers partagés. Gérer les affectations de groupe temporairesFournit tous les pouvoirs nécessaires pour créer et gérer les affectations de groupe temporaires. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des groupes. Gérer la création de rapports d'interface utilisateurFournit tous les pouvoirs nécessaires pour générer et exporter des rapports de détail d'activité pour les utilisateurs, les groupes, les contacts, les ordinateurs, les unités d'organisation, les pouvoirs, les rôles, les ActiveView, les conteneurs, les imprimantes publiées et les administrateurs assistants. Attribuez ce rôle aux administrateurs assistants responsables de la génération des rapports. Gérer les propriétés de numérotation de l'utilisateurFournit tous les pouvoirs nécessaires pour modifier les propriétés de numérotation des comptes d’utilisateurs. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des comptes d’utilisateurs disposant d'un accès distant à l'entreprise. Gérer le courriel de l'utilisateurFournit tous les pouvoirs nécessaires pour afficher, activer ou désactiver l'adresse de courriel d'un compte d’utilisateur. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des comptes d’utilisateurs ou des adresses de courriel pour les objets de compte. Gérer le mot de passe utilisateur et déverrouiller le compteFournit tous les pouvoirs nécessaires pour réinitialiser le mot de passe, spécifier les paramètres du mot de passe et déverrouiller un compte d’utilisateur. Attribuez ce rôle aux administrateurs assistants responsables de la maintenance de l'accès aux comptes d’utilisateurs. Gérer les propriétés de l'utilisateurFournit tous les pouvoirs nécessaires pour gérer toutes les propriétés d'un compte d’utilisateur, y compris les propriétés de boîte aux lettres Microsoft Exchange. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des comptes d’utilisateurs. Gérer les attributs virtuelsFournit tous les pouvoirs nécessaires pour créer et gérer des attributs virtuels. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des attributs virtuels. Gérer les propriétés de l'environnement WTSFournit tous les pouvoirs nécessaires pour modifier les propriétés de l'environnement WTS d'un compte d’utilisateur. Attribuez ce rôle aux administrateurs assistants responsables de la maintenance de l'environnement WTS ou de la gestion des comptes d’utilisateurs. Gérer les propriétés du contrôle à distance WTSFournit tous les pouvoirs nécessaires pour modifier les propriétés d'accès à distance WTS d'un compte d’utilisateur. Attribuez ce rôle aux administrateurs assistants responsables de la maintenance de l'accès WTS ou de la gestion des comptes d’utilisateurs. Gérer les propriétés de session WTSFournit tous les pouvoirs nécessaires pour modifier les propriétés de session WTS d'un compte d’utilisateur. Attribuez ce rôle aux administrateurs assistants responsables de la maintenance des sessions WTS ou de la gestion des comptes d’utilisateurs. Gérer les propriétés de terminal WTSFournit tous les pouvoirs nécessaires pour modifier les propriétés de terminal WTS d'un compte d’utilisateur. Attribuez ce rôle aux administrateurs assistants responsables de la maintenance des propriétés de terminaux WTS ou de la gestion des comptes d’utilisateurs. Administration d'unité organisationnelleFournit tous les pouvoirs nécessaires pour gérer les unités organisationnelles. Attribuez ce rôle aux administrateurs assistants responsables de la gestion de la structure d'Active Directory. Administration des dossiers publicsFournit les pouvoirs de créer, de modifier, de supprimer, d'activer ou de désactiver le courrier et d'afficher les propriétés de vos dossiers publics. Vous pouvez attribuer ce rôle à tous les administrateurs assistants responsables de la gestion des dossiers publics. Renommer le groupe et modifier la descriptionFournit tous les pouvoirs nécessaires pour modifier le nom et la description d'un groupe. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des groupes. Renommer un utilisateur et modifier la descriptionFournit tous les pouvoirs nécessaires pour modifier le nom et la description d'un compte d’utilisateur. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des comptes d’utilisateurs. Répliquer des fichiersFournit tous les pouvoirs nécessaires pour télécharger, supprimer et modifier les informations de fichier. Attribuez ce rôle à des administrateurs assistants responsables de la réplication de fichiers du serveur d'administration primaire vers d'autres serveurs d'administration des ordinateurs client MMS et DRA. Réinitialiser le mot de passe administrateur localFournit tous les pouvoirs nécessaires pour réinitialiser le mot de passe du compte administrateur local et afficher le nom de l'administrateur de l'ordinateur. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des comptes administrateur. Réinitialiser les mots de passeFournit tous les pouvoirs nécessaires pour réinitialiser et modifier les mots de passe. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des mots de passe. Réinitialiser le mot de passe et déverrouiller le compte avec SPAFournit tous les pouvoirs nécessaires pour utiliser Secure Password Administrator pour réinitialiser les mots de passe et déverrouiller les comptes d’utilisateurs. Réinitialiser les propriétés du code confidentiel de messagerie unifiéeFournit tous les pouvoirs nécessaires pour réinitialiser les propriétés du code confidentiel de messagerie unifiée pour les comptes d’utilisateurs. Administration des ressourcesFournit tous les pouvoirs nécessaires pour modifier les propriétés des ressources gérées, y compris les ressources associées à un compte d’utilisateur. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des objets de ressources. Administration de la boîte aux lettres des ressourcesFournit tous les pouvoirs nécessaires pour gérer les boîtes aux lettres des ressources. Auto-administrationFournit tous les pouvoirs nécessaires pour modifier les propriétés de base, telles que les numéros de téléphone, de votre propre compte d’utilisateur. Attribuez ce rôle aux administrateurs assistants pour leur permettre de gérer leurs renseignements personnels. Administration des boîtes aux lettres partagéesFournit tous les pouvoirs nécessaires pour créer, modifier, supprimer et afficher les propriétés de vos boîtes aux lettres partagées. Attribuez ce rôle à tous les administrateurs assistants responsables de la gestion des boîtes aux lettres partagés. Démarrer et arrêter des ressourcesFournit tous les pouvoirs nécessaires pour suspendre, démarrer, reprendre ou arrêter un service, démarrer ou arrêter un périphérique ou une imprimante, éteindre un ordinateur ou synchroniser vos contrôleurs de domaine. Fournit également tous les pouvoirs nécessaires pour suspendre, reprendre et démarrer des services, arrêter des périphériques ou des files d'impressions et éteindre des ordinateurs. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des objets de ressources. Transformer un utilisateurFournit tous les pouvoirs nécessaires pour ajouter ou supprimer un utilisateur à un groupe appartenant à un compte modèle, y compris la possibilité de modifier les propriétés de l'utilisateur tout en le transformant. Administration du serveur d'historique des modifications unifiéFournit les pouvoirs nécessaires pour configurer, afficher et supprimer les configurations d'historique des modifications unifié. Administration des utilisateursFournit tous les pouvoirs nécessaires pour gérer les comptes d'utilisateurs, les boîtes aux lettres Microsoft Exchange associées et les adhésions aux groupes. Attribuez ce rôle aux administrateurs assistants responsables de la gestion des comptes d’utilisateurs. Afficher les collecteurs Active Directory, les collecteurs DRA, les collecteurs de création de rapports de gestion et les informations de configuration de base de donnéesFournit tous les pouvoirs nécessaires pour afficher les collecteurs AD, les collecteurs DRA, les collecteurs de rapports de gestion et les informations de configuration de base de données. Afficher toutes les propriétés de l'ordinateurFournit tous les pouvoirs nécessaires pour afficher toutes les propriétés d'un compte d'ordinateur. Attribuez ce rôle aux administrateurs assistants responsables de l'audit des ordinateurs. Afficher toutes les propriétés de groupeFournit tous les pouvoirs nécessaires pour afficher toutes les propriétés d'un groupe. Attribuez ce rôle aux administrateurs assistants responsables de l'audit des groupes. Afficher toutes les propriétés d'une boîte aux lettres de ressourceFournit tous les pouvoirs nécessaires pour afficher les propriétés d'une boîte aux lettres de ressource. Attribuez ce rôle aux administrateurs assistants responsables de l'audit des boîtes aux lettres des ressources. Afficher toutes les propriétés d'utilisateursFournit tous les pouvoirs nécessaires pour afficher les propriétés d'un compte d’utilisateur. Attribuez ce rôle aux administrateurs assistants responsables de l'audit des comptes d’utilisateurs. Administration du serveur d'automatisation de processus de travailFournit les pouvoirs nécessaires pour configurer, afficher et supprimer les configurations du serveur d'automatisation de processus de travail. Administration de WTSFournit tous les pouvoirs nécessaires pour gérer les propriétés WTS (Windows Terminal Server) des comptes d’utilisateurs dans l'ActiveView. Si vous utilisez WTS, attribuez ce rôle aux administrateurs assistants responsables de la gestion des propriétés WTS des comptes d’utilisateurs. 10.1.1 Accéder aux rôles intégrésAccédez aux rôles intégrés pour auditer le modèle de délégation par défaut ou pour gérer vos propres paramètres de sécurité. Pour accéder aux rôles intégrés :
10.1.2 Utiliser les rôles intégrésVous ne pouvez pas supprimer ou modifier les rôles intégrés. Toutefois, vous pouvez incorporer les rôles intégrés dans votre modèle de délégation existant ou utiliser ces rôles pour concevoir et mettre en œuvre votre propre modèle. Vous pouvez utiliser les rôles intégrés des manières suivantes :
Pour obtenir de plus amples renseignements sur la conception d'un modèle de délégation dynamique, consultez Comprendre le modèle de délégation dynamique. 10.2 Créer des rôles personnalisésLorsque vous créez un rôle, vous pouvez rapidement et facilement lui déléguer un ensemble de pouvoirs qui représente une tâche administrative ou un processus de travail. Les rôles sont créés et gérés à partir du nœud > dans la console de délégation et de configuration. Dans ce nœud, vous pouvez effectuer les opérations suivantes :
Le processus de travail général permettant d'exécuter l'une des actions identifiées dans cette section consiste à sélectionner le nœud et à effectuer l'une des opérations suivantes :
Pour exécuter l'une des actions ci-dessus, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle Gérer le modèle de sécurité. 11.0 PouvoirsLes pouvoirs sont les éléments de base de l’administration des « droits d'accès minimaux ». L'attribution de pouvoirs aux utilisateurs vous aide à mettre en œuvre et à maintenir votre modèle de sécurité dynamique. Vous effectuez ces procédures dans la console de délégation et de configuration. 11.1 Pouvoirs intégrésIl existe plus de 390 pouvoirs intégrés pour la gestion des objets et l'exécution de tâches administratives courantes avec lesquelles vous pouvez travailler lors de la définition de rôles et de l'attribution de délégations. Les pouvoirs intégrés ne peuvent pas être supprimés, mais vous pouvez les cloner pour créer des pouvoirs personnalisés. Vous trouverez ci-dessous quelques exemples de pouvoirs intégrés : Créer un groupe et modifier toutes les propriétés Permet de créer des groupes et de spécifier toutes les propriétés lors de la création du groupe. Supprimer le compte d’utilisateurSi la Corbeille est activée, ce pouvoir permet de déplacer les comptes d’utilisateurs vers la Corbeille. Si la Corbeille est désactivée, ce pouvoir permet de supprimer définitivement les comptes d’utilisateurs. Modifier toutes les propriétés de l'ordinateurFournit le pouvoir de modifier toutes les propriétés des comptes d'ordinateur. 11.2 Mise en œuvre des pouvoirs personnalisésPour créer un pouvoir personnalisé, vous devez créer un nouveau pouvoir ou cloner un pouvoir existant. Vous pouvez utiliser un pouvoir existant comme modèle pour les nouvelles délégations de pouvoir. Un pouvoir définit les propriétés d'un objet qu'un administrateur assistant peut afficher, modifier ou créer dans votre domaine géré ou votre sous-arborescence gérée. Les pouvoirs personnalisés peuvent inclure l'accès à plusieurs propriétés telles que le pouvoir Afficher toutes les propriétés d'utilisateurs. NOTE:Tous les pouvoirs intégrés ne peuvent pas être clonés. Pour implémenter des pouvoirs personnalisés, utilisez le nœud > dans la console de délégation et de configuration. Dans ce nœud, vous pouvez effectuer les opérations suivantes :
Pour exécuter l'une de ces actions, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle Gérer le modèle de sécurité. Suivez le processus ci-dessous avant de tenter de créer un nouveau pouvoir.
Le processus de travail général permettant d'exécuter l'une des actions identifiées dans cette section consiste à sélectionner le nœud et à effectuer l'une des opérations suivantes :
11.3 Étendre des pouvoirsVous pouvez ajouter des autorisations ou des fonctionnalités à un pouvoir en étendant ce pouvoir. Par exemple, pour autoriser un administrateur assistant à créer un compte d’utilisateur, vous pouvez lui attribuer le pouvoir Créer un utilisateur et Modifier toutes les propriétés ou le pouvoir Créer un utilisateur et Modifier certaines propriétés. Si vous attribuez également le pouvoir Ajouter un nouvel utilisateur au groupe, l'administrateur assistant peut ajouter ce nouveau compte d’utilisateur à un groupe tout en utilisant l'assistant de création d'utilisateur. Dans ce cas, le pouvoir Ajouter un nouvel utilisateur au groupe fournit une fonctionnalité d’assistant supplémentaire. Le pouvoir Ajouter un nouvel utilisateur au groupe est le pouvoir d'extension. Les pouvoirs d'extension ne peuvent pas ajouter d'autorisations ou de fonctionnalités par eux-mêmes. Pour déléguer correctement une tâche qui inclut un pouvoir d'extension, vous devez attribuer le pouvoir d'extension en même temps que le pouvoir que vous voulez étendre. NOTE:
Le tableau suivant répertorie quelques exemples d’actions pouvant être configurées lors de la création d’un nouveau pouvoir ou de la modification des propriétés d’un pouvoir existant :
12.0 Attribuer une délégationVous pouvez gérer les attributions de délégation à partir du nœud > de la console de délégation et de configuration. Dans ce nœud, vous pouvez afficher les pouvoirs et les rôles attribués aux administrateurs assistants et gérer les attributions de rôles et d'ActiveView. Vous pouvez également effectuer les opérations suivantes avec les groupes d’administrateurs assistants :
Pour afficher et gérer les attributions et apporter des modifications aux groupes d'administrateurs assistants, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle Gérer le modèle de sécurité. Le processus de travail général permettant d'exécuter l'une des actions identifiées dans cette section consiste à sélectionner le nœud et à effectuer l'une des opérations suivantes :
V Automatisation des stratégies et des processusCe chapitre fournit de l'information qui vous aidera à comprendre le fonctionnement des stratégies dans l'environnement DRA et les options de stratégie. Il explique également comment les déclencheurs et le processus de travail automatisé sont utilisés pour automatiser les processus lors de l'utilisation d'objets dans Active Directory. 13.0 Comprendre la stratégie de DRADRA vous permet de configurer diverses stratégies qui vous aident à sécuriser votre entreprise et à empêcher la corruption des données. Ces stratégies fonctionnent dans le contexte du modèle de sécurité dynamique, garantissant que l'application de la stratégie s'adapte automatiquement à l'évolution de votre entreprise. L'établissement de stratégies, telles que les conventions de nommage, les limites d'utilisation du disque et la validation des propriétés, vous permet d'appliquer des règles qui aident à préserver l'intégrité de vos données d'entreprise. Dans DRA, vous pouvez définir rapidement des règles de stratégie pour les aspects de gestion d'entreprise suivants :
DRA fournit également des stratégies intégrées pour les groupes, les comptes d’utilisateurs et les ordinateurs. Pour gérer ou définir des stratégies, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans les rôles Administrateurs DRA ou Gestion des stratégies et des déclencheurs d'automatisation. Pour vous aider à gérer vos stratégies, DRA fournit le rapport Détails de la stratégie. Ce rapport fournit les informations suivantes :
Vous pouvez utiliser ce rapport pour vous assurer que vos stratégies sont définies correctement. Vous pouvez également utiliser ce rapport pour comparer les propriétés de stratégie, résoudre les conflits et mieux appliquer les stratégies dans votre entreprise. 13.1 Application de la stratégie par le serveur d'administrationVous pouvez associer chaque tâche ou opération d'administration à une ou plusieurs stratégies. Lorsque vous effectuez une opération associée à une stratégie, le serveur d'administration l'exécute et applique les règles spécifiées. Si le serveur détecte une violation de stratégie, il renvoie un message d'erreur. Si le serveur ne détecte pas de violation de stratégie, il termine l'opération. Vous pouvez limiter l'étendue d'une stratégie en l'associant à des groupes d'ActiveView ou d'administrateurs assistants particuliers. Si une opération est associée à plusieurs stratégies, le serveur d'administration les applique dans l'ordre alphabétique. Autrement dit, la stratégie A sera appliquée avant la stratégie B, quelles que soient les règles spécifiées. Pour vous assurer que vos stratégies n'entrent pas en conflit, suivez les directives suivantes :
Le serveur d'administration entre le statut de la stratégie dans le journal d'audit à chaque exécution d'une stratégie. Ces entrées de journal enregistrent le code de retour, les opérations associées, les objets sur lesquels il y a eu une action et si la stratégie personnalisée a réussi. WARNING:Les stratégies sont exécutées à l'aide du compte de service d'administration. Étant donné que le compte de service dispose d'autorisations d'administrateur, les stratégies ont un accès complet à toutes les données d'entreprise. Ainsi, les administrateurs assistants associés au rôle intégré Gérer les stratégies et les déclencheurs d'automatisation peuvent obtenir plus de pouvoir que prévu. 13.2 Stratégies intégréesLes stratégies intégrées sont mises en œuvre lorsque vous installez le serveur d'administration. Lorsque vous travaillez avec ces stratégies, vous pouvez rencontrer les termes suivants : Étendue de la stratégie Elle définit les objets ou les propriétés auxquels DRA applique la stratégie. Par exemple, certaines stratégies vous permettent d'appliquer une stratégie à des administrateurs assistants précis dans les ActiveViews. Certaines stratégies vous permettent de choisir parmi différentes classes d'objets, telles que des comptes d'utilisateurs ou des groupes. Stratégies globalesPermet d'appliquer les règles de stratégie à tous les objets de la classe ou du type spécifié dans les domaines gérés. Avec les stratégies globales, vous ne pouvez pas limiter l'étendue des objets auxquels la stratégie s'applique. Relation de stratégieDéfinit si la stratégie s'applique avec une autre ou par elle-même. Pour établir une relation de stratégie, définissez deux règles ou plus qui s'appliquent à la même action et choisissez le membre d'une option de groupe de stratégies. Si les paramètres ou la propriété de l'opération correspondent à l'une des règles, l'opération réussit. Rubriques liées aux stratégies intégrées :
13.2.1 Comprendre les stratégies intégréesLes stratégies intégrées fournissent des règles d'entreprise pour résoudre les problèmes courants de sécurité et d'intégrité des données. Ces stratégies font partie du modèle de sécurité par défaut, vous permettant d'intégrer les fonctionnalités de sécurité DRA dans votre configuration d'entreprise existante. DRA fournit deux moyens d'appliquer les stratégies. Vous pouvez créer des stratégies personnalisées ou choisir parmi plusieurs stratégies intégrées. Les stratégies intégrées facilitent l’application des stratégies sans qu'il soit nécessaire de développer des scripts personnalisés. Si vous devez implémenter une stratégie personnalisée, vous pouvez adapter une stratégie intégrée existante à vos besoins. La plupart des stratégies vous permettent de modifier le texte du message d'erreur, de renommer la stratégie, d'ajouter une description et de spécifier le mode d'application de la stratégie. Un certain nombre de stratégies intégrées sont activées lorsque vous installez DRA. Les stratégies suivantes sont implémentées par défaut. Si vous ne souhaitez pas appliquer ces stratégies, vous pouvez les désactiver ou les supprimer.
13.2.2 Stratégies disponiblesDRA fournit plusieurs stratégies que vous pouvez personnaliser pour votre modèle de sécurité. NOTE:Vous pouvez créer une stratégie nécessitant une entrée pour une propriété qui n'est actuellement pas disponible à partir des interfaces utilisateur DRA. Si la stratégie exige une entrée et que l'interface utilisateur ne fournit pas de champ pour entrer la valeur en question, par exemple un service pour un nouveau compte d’utilisateur, vous ne pourrez pas créer ou gérer l'objet. Pour éviter ce problème, configurez des stratégies qui nécessitent uniquement les propriétés accessibles à partir des interfaces utilisateur. Créer une stratégie personnalisée Cette option vous permet de lier un script ou un exécutable à une opération DRA ou Exchange. Les stratégies personnalisées vous permettent de valider les opérations que vous choisissez. Appliquer une longueur de nom maximaleCette option vous permet d'appliquer globalement la longueur maximale du nom pour les comptes d’utilisateurs, les groupes, les unités organisationnelles, les contacts ou les ordinateurs. La stratégie vérifie le conteneur de noms (nom commun ou cn) et le nom antérieur à Windows 2000 (nom de connexion de l'utilisateur). Appliquer le nombre maximum de membres du groupeCette option vous permet d'appliquer globalement des limites au nombre de membres d'un groupe. Appliquer les noms de compte uniques antérieurs à Windows 2000Cette option permet de vérifier qu'un nom antérieur à Windows 2000 est unique pour tous les domaines gérés. Dans les domaines Microsoft Windows, les noms antérieurs à Windows 2000 doivent être uniques dans un domaine. Cette stratégie globale applique cette règle à tous les domaines gérés. Appliquer des noms d'utilisateur principaux (UPN) uniquesCette option permet de vérifier qu'un nom d'utilisateur principal est unique pour tous les domaines gérés. Dans les domaines Microsoft Windows, les noms d'utilisateur principaux doivent être uniques dans un domaine. Cette stratégie applique cette règle à tous les domaines gérés. Comme il s'agit d'une stratégie globale, DRA fournit le nom, la description et la relation de la stratégie. Limiter les actions aux membres de groupes spéciauxCette option vous empêche de gérer les membres d'un groupe d'administrateurs, sauf si vous êtes membre de ce groupe d'administrateurs. Cette stratégie globale est activée par défaut. Lorsque vous limitez les actions aux membres des groupes d'administrateurs, l'assistant de création de stratégie ne nécessite aucune information supplémentaire. Vous pouvez spécifier un message d'erreur personnalisé. Comme il s'agit d'une stratégie globale, DRA fournit le nom, la description et la relation de la stratégie. Empêcher les administrateurs assistants de créer et de cloner des utilisateurs dans le même AVCette option empêche une éventuelle escalade des pouvoirs. Lorsque cette stratégie est activée, vous pouvez créer des comptes d’utilisateurs ou cloner des comptes d'utilisateur, mais vous ne pouvez pas disposer des deux pouvoirs. Cette stratégie globale garantit que vous ne pouvez pas créer et cloner des comptes d’utilisateurs dans le même ActiveView. Cette stratégie ne nécessite pas d'informations supplémentaires. Définir une stratégie de convention de nommageCette option vous permet d'établir des conventions de nommage qui s'appliquent à des administrateurs assistants, à des ActiveViews et à des classes d'objets précis tels qu'un compte d’utilisateur ou des groupes. Vous pouvez également spécifier les noms exacts surveillés par cette stratégie. Créer une stratégie pour valider une propriété préciseCette option vous permet de créer une stratégie pour valider toute propriété d'une unité organisationnelle ou d'un objet de compte. Vous pouvez spécifier une valeur par défaut, un masque de format de propriété, ainsi que des valeurs et des plages valides. Utilisez cette stratégie pour appliquer l'intégrité des données en validant des champs de saisie particuliers lorsque vous créez, clonez ou modifiez les propriétés d'objets précis. Cette stratégie offre une flexibilité et un pouvoir considérables pour valider les entrées, fournir des entrées par défaut et limiter les choix d’entrée pour divers champs de propriété. En utilisant cette stratégie, vous pouvez exiger qu'une entrée soit correcte pour qu'une tâche se termine, préservant ainsi l'intégrité des données dans vos domaines gérés. Par exemple, supposons que vous ayez trois services : Fabrication, Ventes et Administration. Vous pouvez limiter les entrées acceptées par DRA à ces trois valeurs uniquement. Vous pouvez également utiliser cette stratégie pour appliquer les formats de numéro de téléphone appropriés, fournir une plage de données valides ou exiger une entrée pour le champ d'adresse électronique. Pour spécifier des masques de formats multiples pour un numéro de téléphone tels que (123)456 7890 ou 456 7890, définissez le masque de format de propriété ainsi (###)### ####,### ####. Créer une stratégie pour appliquer les licences Office 365Vous permet de créer une stratégie pour attribuer des licences Office 365 en fonction de l'adhésion à un groupe Active Directory. Cette stratégie applique également la suppression des licences Office 365 lorsqu'un membre est supprimé du groupe Active Directory correspondant. Si un utilisateur non synchronisé dans le nuage est ajouté au groupe Active Directory, il sera synchronisé avant l'attribution d'une licence Office 365 à l'utilisateur. Lors de la création de la stratégie, vous pouvez spécifier plusieurs propriétés et paramètres, tels que le nom de la stratégie et le libellé du message d'erreur qui apparaît lorsqu'un administrateur assistant tente une action qui viole cette stratégie. Le paramètre (Vérifier que seules les licences attribuées par les stratégies DRA sont activées sur les comptes. Toutes les autres licences seront supprimées.) est inclus dans la page Propriétés du locataire, qui est configurable par locataire. Ce paramètre est utilisé pour les stratégies de licence de DRA Office 365 afin de configurer la manière dont les attributions de licence seront appliquées : Lorsque ce paramètre est activé, l'application de la licence DRA garantit que seules les licences attribuées à l'aide des stratégies DRA sont provisionnées aux comptes (les licences attribuées en dehors de DRA seront supprimées des comptes affectés à la stratégie de licence). Lorsque ce paramètre est désactivé (par défaut), l'application des licences DRA garantit uniquement que les licences spécifiques que vous avez incluses dans vos stratégies Office 365 sont provisionnées sur les comptes (lorsqu'un compte n'est pas affecté à une stratégie de licence, seules les licences attribuées par cette stratégie sont déprovisionnées). 13.2.3 Utiliser des stratégies intégréesLes stratégies intégrées faisant partie du modèle de sécurité par défaut, vous pouvez les utiliser pour appliquer votre modèle de sécurité actuel ou les modifier pour mieux répondre à vos besoins. Vous pouvez modifier le nom, les paramètres de règle, l'étendue, la relation de stratégie et le message d'erreur de plusieurs stratégies intégrées. Vous pouvez activer ou désactiver chaque stratégie intégrée. Vous pouvez également créer facilement de nouvelles stratégies. 13.3 Implémenter une stratégie personnaliséeLes stratégies personnalisées vous permettent d'exploiter pleinement la puissance et la flexibilité du modèle de sécurité par défaut. En utilisant des stratégies personnalisées, vous pouvez intégrer DRA aux composants d'entreprise existants tout en veillant à l'application de vos règles propriétaires. Vous pouvez utiliser la fonctionnalité de stratégie personnalisée pour étendre les stratégies de votre entreprise. Vous créez et appliquez des stratégies personnalisées en associant un exécutable ou un script à une opération d'administration. Par exemple, un script de stratégie associé à l'opération UserCreate (Créer un utilisateur) pourrait vérifier votre base de données de ressources humaines pour voir si l'employé spécifié existe. Si l'employé existe dans la base de données des ressources humaines et ne possède pas de compte existant, le script extrait l'ID, le prénom et le nom de l'employé de la base de données. L'opération se termine correctement et remplit la fenêtre de propriétés du compte d’utilisateur avec les renseignements appropriés. Cependant, si l'employé a déjà un compte, l'opération échoue. Les scripts vous donnent une flexibilité et une puissance énorme. Pour créer vos propres scripts de stratégie, vous pouvez utiliser les fournisseurs ADSI (fournisseur ADSI), les kits de développement logiciel (SDK) et les applets de commande PowerShell de Directory and Resource Administrator. Pour obtenir de plus amples renseignements sur la création de vos propres scripts de stratégie, consultez la section Référence du site Documentation de DRA. 13.4 Restreindre les groupes de sécurité intégrés natifsPour fournir un environnement plus sécurisé, DRA vous permet de limiter les pouvoirs accordés aux groupes de sécurité intégrés à Microsoft Windows. La possibilité de modifier l'adhésion à un groupe, les propriétés de groupe de sécurité intégrées ou les propriétés des membres du groupe peut avoir des conséquences importantes pour la sécurité. Par exemple, si vous pouvez modifier le mot de passe d'un utilisateur du groupe Opérateurs de serveur, vous pouvez vous connecter en tant qu'utilisateur et exercer les pouvoirs délégués à ce groupe de sécurité intégré. DRA empêche ce problème de sécurité en fournissant une stratégie qui vérifie vos pouvoirs pour un groupe de sécurité natif intégré et ses membres. Cette validation garantit que les actions demandées n'escaladent pas ces pouvoirs. Une fois que vous avez activé cette stratégie, un administrateur assistant membre d'un groupe de sécurité intégré, tel que le groupe Opérateurs de serveur, ne peut gérer que les autres membres du même groupe. 13.4.1 Groupes de sécurité intégrés natifs que vous pouvez limiterVous pouvez limiter les pouvoirs des groupes de sécurité intégrés à Microsoft Windows suivants à l'aide de stratégies DRA :
13.4.2 Restreindre les actions sur les groupes de sécurité intégrés natifsDRA utilise une stratégie pour limiter le pouvoir des groupes de sécurité intégrés natifs et de leurs membres. Cette stratégie, appelée $SpecialGroupsPolicy, limite les actions qu'un membre d'un groupe de sécurité intégré natif peut effectuer sur d'autres membres ou d'autres groupes de sécurité intégrés natifs. DRA active cette stratégie par défaut. Si vous ne souhaitez pas limiter les actions aux groupes de sécurité intégrés natifs et à leurs membres, vous pouvez désactiver cette stratégie. Lorsque cette stratégie est activée, DRA utilise les tests de validation suivants pour déterminer si une action est autorisée sur un groupe de sécurité intégré natif ou ses membres :
Par exemple, si vous êtes membre des groupes Opérateurs de serveur et Opérateurs de compte et que vous disposez des pouvoirs appropriés, vous pouvez effectuer des actions sur les membres du groupe Opérateurs de serveur, les membres du groupe Opérateurs de compte ou les membres des deux groupes. Toutefois, vous ne pouvez pas effectuer d'actions sur un compte d'utilisateur membre du groupe Opérateurs d'impression et du groupe Opérateurs de compte. DRA vous empêche d'effectuer les actions suivantes sur les groupes de sécurité intégrés natifs :
DRA limite également les actions afin de garantir que vous n'obtenez pas de pouvoirs sur un objet. Par exemple, lorsque vous ajoutez un compte d’utilisateur à un groupe, DRA vérifie que vous n'obtenez pas de pouvoirs supplémentaires sur le compte d’utilisateur parce qu'il est membre de ce groupe. Cette validation est une protection contre une escalade de pouvoir. 13.5 Gérer les stratégiesGrâce au nœud Gestion des stratégies et de l'automatisation, vous pouvez accéder aux stratégies de Microsoft Exchange et des répertoires privés, ainsi qu'aux stratégies intégrées et personnalisées. Utilisez les tâches courantes suivantes pour améliorer la sécurité de votre entreprise et l'intégrité des données. Configurer les stratégies Exchange Cette tâche vous permet de définir la configuration Microsoft Exchange, la stratégie de boîte aux lettres, le nommage automatique et les règles de génération de mandataire. Ces règles peuvent définir le mode de gestion des boîtes aux lettres lorsqu'un administrateur assistant crée, modifie ou supprime un compte d’utilisateur. Configurer les stratégies de répertoire privéCette tâche vous permet de créer, de renommer ou de supprimer automatiquement des répertoires privés et des partages privés lorsqu'un administrateur assistant crée, renomme ou supprime un compte d’utilisateur. La stratégie de répertoire privé vous permet également d'activer ou de désactiver la prise en charge des quotas de disque pour les répertoires privés sur les serveurs Microsoft Windows ainsi que sur les serveurs autres que Windows. Configurer les stratégies de génération de mot de passeCette tâche vous permet de définir les exigences pour les mots de passe générés par DRA. Pour de plus amples renseignements sur la gestion des stratégies dans DRA, reportez-vous aux sections suivantes :
13.5.1 Stratégie Microsoft ExchangeExchange offre plusieurs stratégies pour vous aider à gérer plus efficacement les objets Microsoft Exchange. La stratégie Microsoft Exchange vous permet d'automatiser la gestion des boîtes aux lettres, d'appliquer les conventions d'affectation des noms pour les alias et les banques de boîtes aux lettres ainsi que de générer automatiquement des adresses de courriel. Ces stratégies peuvent vous aider à rationaliser vos processus de travail et à maintenir l'intégrité des données. Par exemple, vous pouvez spécifier comment Exchange gère les boîtes aux lettres lorsque vous créez, modifiez ou supprimez des comptes d’utilisateurs. Pour définir et gérer les stratégies Microsoft Exchange, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation. Spécifier une stratégie d'adresse de courriel par défaut Pour activer la prise en charge de Microsoft Exchange, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation et votre licence doit prendre en charge le produit Exchange. Pour spécifier une stratégie d'adresse de courriel par défaut :
Rêgles de boîte aux lettres Les règles de boîte aux lettres vous permettent de spécifier comment Exchange gère les boîtes aux lettres lorsque les administrateurs assistants créent, clonent, modifient ou suppriment des comptes d’utilisateurs. Les règles de boîte aux lettres gèrent automatiquement les boîtes aux lettres Microsoft Exchange en fonction de la manière dont l'administrateur assistant gère les comptes d’utilisateurs associés. NOTE:Lorsque vous activez l'option (Ne pas autoriser les administrateurs assistants à créer un compte d’utilisateur sans boîte aux lettres) dans les domaines Microsoft Windows, assurez-vous que l'administrateur assistant a le pouvoir de cloner ou de créer un compte d’utilisateur. Lorsque cette option est activée, les administrateurs assistants doivent créer des comptes d’utilisateurs Windows avec une boîte aux lettres. Pour spécifier les règles de boîte aux lettres Microsoft Exchange, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation, et votre licence doit prendre en charge le produit Exchange. Pour spécifier les règles de boîte aux lettres Exchange :
13.5.2 Stratégie de licence Office 365Pour spécifier les stratégies de licences Office 365, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation. Votre licence doit également prendre en charge le produit Microsoft Exchange. Autoriser DRA à gérer vos licences Office 365 (facultatif) Si vous souhaitez autoriser DRA à gérer vos licences Office 365, vous devez procéder comme suit :
Créer une stratégie d'application de licences Office 365 Pour créer une stratégie d'application de licences Office 365, cliquez sur le nœud (Gestion des stratégies et de l’automatisation) de la console de délégation et de configuration, puis sélectionnez > (Nouvelle stratégie > Créer une nouvelle stratégie pour appliquer des licences Office 365). Lorsque la stratégie est appliquée et qu'un utilisateur est ajouté à Active Directory, DRA utilise l'adhésion à un groupe pour attribuer automatiquement la licence Office 365 à l'utilisateur. Planification de mise à jour des licences Office 365 Les stratégies que vous créez pour appliquer les licences Office 365 ne sont pas appliquées lorsque des modifications sont apportées en dehors de DRA, à moins que vous n'activiez également la sur la page de propriétés du locataire. La tâche de mise à jour des licences garantit que les licences Office 365 attribuées aux utilisateurs correspondent à vos stratégies de licence Office 365. La tâche de mise à jour des licences et les stratégies de licence Office 365 fonctionnent ensemble pour garantir que tous vos utilisateurs gérés se voient attribuer uniquement les licences Office 365 qu'ils sont censés posséder. NOTE:
13.5.3 Créer et mettre en œuvre une stratégie de répertoire privéLorsque vous gérez un grand nombre de comptes d’utilisateurs, la création et la maintenance des répertoires et des partages privés peuvent prendre beaucoup de temps et constituer une source d'erreur de sécurité. Un travail de maintenance supplémentaire peut être nécessaire chaque fois qu'un utilisateur est créé, renommé ou supprimé. Les stratégies de répertoire privé vous aident à gérer la maintenance des répertoires et des partages privés. DRA vous permet d'automatiser la création et la maintenance des répertoires privés des utilisateurs. Par exemple, vous pouvez facilement configurer DRA pour que le serveur d'administration crée un répertoire privé lorsque vous créez un compte d’utilisateur. Dans ce cas, si vous spécifiez un chemin de répertoire privé lors de la création du compte d’utilisateur, le serveur crée automatiquement le répertoire privé selon le chemin spécifié. Si vous ne spécifiez pas de chemin, le serveur ne crée pas le répertoire privé. DRA prend en charge les chemins DFS (Distributed File System) lors de la création de répertoires privés utilisateurs ou de la configuration de stratégies de répertoires privés pour les utilisateurs dans des chemins parents autorisés. Vous pouvez créer, renommer et supprimer des répertoires privés sur Netapp Filers et sur des chemins ou des partitions DFS. Configurer les stratégies de répertoire privé Pour configurer les stratégies de répertoire privé, de partage privé et de quota de disque de volume privé, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation. Chaque stratégie gère automatiquement les répertoires privés, les partages privés et les quotas de disques de volume privés en fonction de la gestion des comptes d’utilisateurs associés. Pour configurer les stratégies de répertoire privé, accédez à > >
Configuration requise du serveur d'administration Pour chaque ordinateur sur lequel vous devez créer un partage privé, le compte de service du serveur d'administration ou le compte d'accès doit être un compte administrateur de cet ordinateur ou un membre du groupe Administrateurs du domaine correspondant. Un partage administratif, tel que C$ ou D$, doit exister pour chaque lecteur sur lequel DRA gère et stocke les répertoires privés. DRA utilise les partages administratifs pour effectuer certaines tâches d’automatisation du répertoire privé et du partage privé. Si ces partages n'existent pas, DRA ne peut pas automatiser le répertoire privé et le partage privé. Configurer les chemins d'accès autorisés du répertoire privé pour NetApp Filer Pour configurer les chemins d'accès parents autorisés pour NetApp Filer :
Comprendre la stratégie de répertoire privé Pour être cohérent avec les stratégies de sécurité Microsoft Windows appropriées, DRA crée uniquement des restrictions de contrôle d'accès au niveau du répertoire. Placer des restrictions de contrôle d'accès à la fois au niveau du nom de partage et au niveau du fichier ou de l'objet répertoire entraîne souvent un schéma d'accès confus pour les administrateurs et les utilisateurs. Lorsque vous modifiez une restriction de contrôle d'accès pour un partage privé, DRA ne modifie pas la sécurité existante pour ce répertoire. Dans ce cas, vous devez vous assurer que les comptes d’utilisateurs disposent d'un accès approprié à leurs propres répertoires privés. Automatisation de répertoire privé et règles DRA automatise les tâches de maintenance de répertoire privé en gérant les répertoires privés lorsque vous modifiez un compte d’utilisateur. DRA peut effectuer différentes actions lorsqu'un compte d’utilisateur est créé, cloné, modifié, renommé ou supprimé. Pour réussir la mise en œuvre de votre stratégie de répertoire privé, suivez les directives ci-dessous :
Créer un répertoire privé lors de la création du compte d’utilisateur Cette règle permet à DRA de créer automatiquement des répertoires privés pour les nouveaux comptes d’utilisateurs. Lorsque DRA crée un répertoire privé, le serveur d'administration utilise le chemin spécifié dans les champs de l'assistant de création d'utilisateur. Vous pouvez modifier ce chemin ultérieurement en utilisant l'onglet Profil de la fenêtre des propriétés de l'utilisateur et DRA déplacera le répertoire privé vers le nouvel emplacement. Si vous ne spécifiez pas de valeurs pour ces champs, DRA ne crée pas de répertoire privé pour ce compte d'utilisateur. DRA définit la sécurité du nouveau répertoire en fonction des options sélectionnées. Ces options vous permettent de contrôler l'accès général à tous les répertoires privés. Par exemple, vous pouvez spécifier que les membres du groupe Administrateurs disposent d'un contrôle total et que les membres du groupe Service d'assistance disposent d'un accès en lecture au partage dans lequel les répertoires privés de l'utilisateur sont créés. Ensuite, lorsque DRA crée un répertoire privé d'utilisateur, le nouveau répertoire privé peut hériter de ces droits du répertoire parent. Par conséquent, les membres du groupe Administrateurs disposent d'un contrôle total sur tous les répertoires privés des utilisateurs et les membres du groupe Service d'assistance ont un accès en lecture à tous les répertoires privés des utilisateurs. Si le répertoire privé spécifié existe déjà, DRA ne le crée pas et ne modifie pas les autorisations de répertoire existantes. Renommer un répertoire privé lors de la création du compte d’utilisateurCette règle permet à DRA d’effectuer automatiquement les actions suivantes :
Lorsque vous renommez un compte d’utilisateur, DRA renomme le répertoire privé existant en fonction du nouveau nom du compte. Si le répertoire privé existant est en cours d'utilisation, DRA crée un nouveau répertoire privé avec le nouveau nom et ne modifie pas le répertoire privé existant. Lorsque vous modifiez le chemin du répertoire privé, DRA tente de créer le répertoire privé spécifié et de déplacer le contenu du répertoire privé précédent vers le nouvel emplacement. Vous pouvez également configurer la stratégie Répertoire privé pour créer un répertoire privé sans déplacer le contenu du répertoire privé existant. DRA applique également les listes de contrôle d'accès affectées du répertoire précédent au nouveau répertoire. Si le répertoire privé spécifié existe déjà, DRA ne crée pas le nouveau et ne modifie pas les autorisations de répertoire existantes. Si le répertoire privé précédent n'est pas verrouillé, DRA le supprime. Lorsque DRA ne parvient pas à renommer le répertoire privé, il tente de créer un nouveau répertoire privé avec un nouveau nom et de copier le contenu du répertoire privé précédent dans le nouveau. DRA tente ensuite de supprimer le répertoire privé précédent. Vous pouvez configurer DRA pour ne pas copier le contenu du répertoire privé précédent dans le nouveau et déplacer manuellement le contenu du répertoire privé précédent vers le nouveau pour éviter des problèmes tels que la copie de fichiers ouverts. Lors de la suppression du répertoire privé précédent, DRA a besoin d'une autorisation explicite pour supprimer les fichiers et les sous-répertoires en lecture seule du répertoire privé précédent. Vous pouvez donner à DRA l'autorisation de supprimer explicitement les fichiers et les sous-répertoires en lecture seule du répertoire privé précédent. Autoriser le répertoire parent ou le chemin d'accès pour un partage privéDRA vous permet de spécifier les répertoires ou chemins parents autorisés pour les partages privés sur les serveurs de fichiers. Si vous avez plusieurs chemins de répertoire ou de serveur de fichiers à spécifier, vous pouvez exporter ces chemins vers un fichier CSV et ajouter les chemins de fichier CSV à DRA à l'aide de la console DRA. DRA utilise les renseignements saisis dans le champ pour veiller à ce que :
Cette règle permet à DRA de supprimer automatiquement un répertoire privé lorsque vous supprimez le compte d’utilisateur associé. Si vous activez la Corbeille, DRA ne supprime pas le répertoire privé tant que vous n'avez pas supprimé le compte d’utilisateur de la Corbeille. Lors de la suppression du répertoire privé, DRA a besoin d'une autorisation explicite pour supprimer les fichiers et les sous-répertoires en lecture seule du répertoire privé précédent. Vous pouvez donner à DRA l'autorisation de supprimer explicitement les fichiers et les sous-répertoires en lecture seule du répertoire privé précédent. Automatisation de partage privé et règles DRA automatise les tâches de maintenance du partage privé en gérant les partages lorsque vous modifiez un compte d’utilisateur ou que vous gérez des répertoires privés. DRA peut effectuer différentes actions lorsqu'un compte d’utilisateur est créé, cloné, modifié, renommé ou supprimé. Pour être cohérent avec les stratégies de sécurité Microsoft Windows appropriées, DRA ne crée pas de restrictions de contrôle d'accès au niveau du nom de partage. À la place, DRA crée des restrictions de contrôle d'accès uniquement au niveau du répertoire. Placer des restrictions de contrôle d'accès à la fois au niveau du nom de partage et au niveau du fichier ou de l'objet répertoire entraîne souvent un schéma d'accès confus pour les administrateurs et les utilisateurs. NOTE:L'emplacement spécifié doit avoir un partage privé commun, tel que HOMEDIRS, à un niveau au-dessus des répertoires privés. Par exemple, le chemin suivant est valide : \\HOUSERV1\HOMEDIRS\%username% Le chemin suivant n'est pas valide : \\HOUSERV1\%username% Spécifier des noms de partage privé Lors de la définition des règles d'automatisation du partage privé, vous pouvez spécifier un préfixe et un suffixe pour chaque partage privé créé automatiquement. En spécifiant un préfixe ou un suffixe, vous pouvez appliquer une convention de nommage pour les partages privés. Par exemple, vous activez les règles d'automatisation Créer un répertoire privé et Créer un partage privé. Pour le partage privé, vous spécifiez un préfixe qui est le caractère soulignement et un suffixe qui est le signe dollar. Lorsque vous créez un utilisateur nommé TomS, vous mappez son nouveau répertoire sur le lecteur U et spécifiez \\HOUSERV1\HOMEDIRS\%username% comme chemin de répertoire. Dans cet exemple, DRA crée un partage réseau nommé _TomS$ qui pointe vers le répertoire \\HOUSERV1\HOMEDIRS\TomS directory. Créer des partages privés pour les nouveaux comptes d’utilisateursLorsque DRA crée un partage privé, le serveur d'administration utilise le chemin spécifié dans les champs de l'assistant de création d'utilisateur. Vous pouvez modifier ce chemin ultérieurement sur l'onglet Profil de la fenêtre des propriétés de l'utilisateur. DRA crée le nom de partage en ajoutant les préfixes et les suffixes spécifiés, le cas échéant, au nom d'utilisateur. Si vous utilisez des noms de compte d’utilisateur longs, DRA risque de ne pas pouvoir ajouter le préfixe et le suffixe de partage privé spécifié. Le préfixe et le suffixe, ainsi que le nombre de connexions autorisées, sont basés sur les options de création de partage privé que vous avez sélectionnées. Créer des partages privés pour les comptes d’utilisateurs clonésSi le nom de partage privé généré à partir du nom de compte nouvellement créé existe déjà, DRA supprime le partage existant et crée un nouveau partage dans le répertoire privé spécifié. Lors du clonage d'un compte d’utilisateur, le nom de partage du compte d’utilisateur existant doit exister à ce moment-là. Lorsque vous clonez un compte d’utilisateur, DRA clone également les renseignements du répertoire privé et les personnalise pour le nouvel utilisateur. Modifier les propriétés d'un partage privéLorsque vous modifiez l'emplacement du répertoire privé, DRA supprime le partage existant et crée un nouveau partage dans le nouveau répertoire privé. Si le répertoire privé d'origine est vide, DRA le supprime. Renommer les partages privés pour les comptes d’utilisateurs renommésLorsque vous renommez un compte d’utilisateur, DRA supprime le partage privé existant et crée un nouveau partage basé sur le nouveau nom du compte. Le nouveau partage pointe vers le répertoire privé existant. Supprimer des partages privés pour les comptes d’utilisateurs supprimésLorsque vous supprimez définitivement un compte d'utilisateur, DRA supprime le partage privé. Règles de gestion de quota de disque de volume privé DRA vous permet de gérer les quotas de disque des volumes privés. Vous pouvez implémenter cette stratégie dans des domaines natifs où le répertoire privé réside sur un ordinateur Microsoft Windows. Lorsque vous implémentez cette stratégie, vous devez spécifier un quota de disque d'au moins 25 Mo pour laisser suffisamment d'espace. 13.5.4 Activer la génération de mots de passeCette fonctionnalité vous permet de spécifier les paramètres de stratégie pour les mots de passe générés par DRA. DRA n'applique pas ces paramètres sur les mots de passe créés par les utilisateurs. Lors de la configuration des propriétés de la stratégie des mots de passe, la longueur du mot de passe ne doit pas être inférieure à 6 caractères ni supérieure à 127 caractères, toutes les valeurs peuvent être mises à zéro, à l'exception de la longueur du mot de passe et de la limite maximale. Pour configurer la stratégie de génération de mot de passe, accédez à > , puis cochez la case . Cliquez sur et configurez les propriétés de la stratégie de mot de passe. 13.5.5 Tâches de stratégiePour supprimer, activer ou désactiver les stratégies, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation. Pour effectuer l'une de ces actions, accédez à > . Cliquez avec le bouton droit de la souris sur la stratégie que vous souhaitez supprimer, activer ou désactiver dans le volet de droite, puis sélectionnez l'action souhaitée. Mettre en œuvre des stratégies intégrées Pour mettre en œuvre des stratégies intégrées, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation. Pour obtenir de plus amples renseignements sur les stratégies intégrées, consultez Comprendre les stratégies intégrées. NOTE:Avant d'associer la stratégie intégrée à un administrateur assistant et à un ActiveView, vérifiez d'abord que l'administrateur assistant est affecté à cet ActiveView. Pour mettre en œuvre des stratégies intégrées :
Mettre en œuvre des stratégies personnalisées Pour mettre en œuvre une stratégie personnalisée, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation. Pour implémenter correctement une stratégie personnalisée, vous devez écrire un script qui s'exécute au cours d'une opération précise (tâche administrative). Dans le script de stratégie personnalisée, vous pouvez définir des messages d'erreur à afficher chaque fois qu'une action enfreint la stratégie. Vous pouvez également spécifier un message d'erreur par défaut à l'aide de l'assistant de création de stratégie. Pour obtenir de plus amples renseignements sur l'écriture de stratégies personnalisées, l'affichage d'une liste d'opérations d'administration ou l'utilisation de tableaux d'arguments, consultez le SDK. Pour obtenir de plus amples renseignements, consultez Écrire des scripts de stratégie ou des exécutables personnalisés. NOTE:
Pour implémenter une stratégie personnalisée :
Modifier des propriétés de stratégie Pour modifier toutes les propriétés d'une stratégie, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation. Pour modifier les propriétés d'une stratégie :
Écrire des scripts de stratégie ou des exécutables personnalisés Pour obtenir de plus amples renseignements sur la création de scripts ou d'exécutables de stratégies personnalisés, consultez le SDK. Pour accéder au SDK :
Pour obtenir de plus amples renseignements sur le SDK, consultez le Guide des services DRA REST sur le site Documentation de DRA. 13.6 Stratégie client de délégation et de configurationLa stratégie de nommage automatique inclut trois configurations de stratégie dans les stratégies Exchange qui sont exclusives au client de délégation et de configuration, ce qui signifie qu'il s'agit d'une stratégie côté client. La stratégie de nommage automatique vous permet de spécifier des règles de nommage automatisées pour des propriétés précises d'une boîte aux lettres. Ces options vous permettent d'établir des conventions de nommage et de générer rapidement des valeurs standard pour le nom complet, le nom de répertoire et les propriétés d'alias. Exchange vous permet de spécifier des chaînes de substitution, telles que %Premier et %Dernier, pour plusieurs options de nommage automatique. Lorsque Exchange génère un nom de répertoire ou un alias, il vérifie si la valeur générée est unique. Si la valeur générée n'est pas unique, Exchange ajoute un trait d'union (-) et un nombre à deux chiffres, commençant par -01, pour rendre la valeur unique. Lorsque Exchange génère un nom d'affichage, il ne vérifie pas si la valeur est unique. Exchange prend en charge les chaînes de substitution suivantes pour les stratégies de dénomination automatique et de génération de mandataire :
Vous pouvez également spécifier un nombre entre le signe de pourcentage (%) et le nom de la chaîne de substitution pour indiquer le nombre de caractères à inclure à partir de cette valeur. Par exemple, %2First indique les deux premiers caractères de la propriété (Prénom) du compte d’utilisateur. Chaque règle de nommage automatique ou de stratégie de génération de mandataire peut contenir une ou plusieurs chaînes de substitution. Vous pouvez également spécifier des caractères dans chaque règle sous forme de préfixe ou de suffixe pour une chaîne de substitution précise, telle qu'un point et une espace (.) après la chaîne de substitution %Initials. Si la propriété de la chaîne de substitution est vide, Exchange n'inclut pas le suffixe de cette propriété. Par exemple, considérons la règle de nommage automatique suivante pour la propriété de nom : %First %1Initials. %Last Si la propriété est Susan, la propriété est May et la propriété est Smith, Exchange donne à la propriété la valeur Susan M. Smith. Si la propriété est Michael, la propriété est vide et la propriété est Jones, Exchange donne à la propriété la valeur Michael Jones. 13.6.1 Spécifier une stratégie de nommage automatique de boîte aux lettresPour spécifier des options de nommage automatique de boîte aux lettres, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation, et votre licence doit prendre en charge le produit Exchange. Pour spécifier une stratégie de nommage automatique de boîte aux lettres :
13.6.2 Spécifier une stratégie de nommage de ressourcesPour spécifier des options de nommage de ressources, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation, et votre licence doit prendre en charge le produit Exchange. Pour spécifier une stratégie de nommage de ressources :
13.6.3 Spécifier une politique de nommage d'archivesPour spécifier des options de nommage d'archives, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation, et votre licence doit prendre en charge le produit Exchange. Pour spécifier une politique de nommage d'archives :
14.0 Automatisation du déclenchement avant et après la tâcheUn déclencheur d'automatisation est une règle associant un script ou un fichier exécutable à une ou plusieurs opérations. Grâce au script ou au fichier exécutable, vous pouvez automatiser un processus de travail existant et établir un pont d’information entre DRA et d’autres référentiels de données. Les déclencheurs d'automatisation vous permettent d'étendre les fonctionnalités et la sécurité offertes par DRA. Lorsque vous définissez un déclencheur d'automatisation, vous définissez les paramètres de règle, les opérations à associer au déclencheur, le script ou le fichier exécutable à exécuter et, le cas échéant, les ActiveViews ou les administrateurs assistants à associer à ce déclencheur. Ces règles déterminent la façon dont le serveur d'administration applique votre déclencheur. Vous pouvez également spécifier un script d'annulation ou un exécutable pour votre déclencheur. Un script d'annulation vous permet d'annuler vos modifications si l'opération échoue. DRA prend en charge les scripts VBScript et PowerShell. 14.1 Automatisation des processus par le serveur d'administrationOutre l'administration basée sur les règles ActiveView, DRA vous permet d'automatiser vos processus de travail existants et d'exécuter automatiquement les tâches connexes en utilisant des déclencheurs d'automatisation. L'automatisation des processus de travail existants peut vous aider à rationaliser votre entreprise tout en fournissant des services meilleurs et plus rapides. Lorsque le serveur d'administration exécute l'opération associée à votre déclencheur d'automatisation, il exécute également le script ou l'exécutable du déclencheur. Si votre déclencheur est un déclencheur qui s'exécute avant la tâche, le serveur exécute le script ou l'exécutable avant d'exécuter l'opération. Si votre déclencheur est un déclencheur qui s'exécute après la tâche, le serveur exécute le script ou l'exécutable après avoir exécuté l'opération. Ce processus s'appelle une transaction. Une transaction représente le cycle d'implémentation complet pour chaque tâche ou opération effectuée par le serveur d'administration. Une transaction comprend les actions requises pour terminer une opération, ainsi que les actions d'annulation que le serveur d'administration doit effectuer en cas d'échec de l'opération. Le serveur d'administration entre le statut du déclencheur dans le journal d'audit à chaque exécution d'un déclencheur d'automatisation. Ces entrées de journal enregistrent le code de retour, les opérations associées, les objets sur lesquels il y a eu une action et si le script du déclencheur personnalisé a réussi. WARNING:Les déclencheurs d'automatisation sont exécutés à l'aide du compte de service du serveur d'administration. Étant donné que le compte de service dispose d'autorisations d'administrateur, les stratégies et les déclencheurs d'automatisation ont un accès complet à toutes les données d'entreprise. Pour définir des déclencheurs d'automatisation, vous devez disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation. Ces déclencheurs d'automatisation s'exécutent dans le contexte de sécurité du compte de service. Ainsi, les administrateurs assistants associés au rôle intégré Gérer les stratégies et les déclencheurs d'automatisation peuvent obtenir plus de pouvoir que prévu. 14.2 Implémenter un déclencheur d'automatisationPour implémenter des déclencheurs d'automatisation, vous devez d'abord écrire des scripts de déclencheur ou des exécutables et disposer des pouvoirs appropriés tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation. Pour implémenter correctement un déclencheur personnalisé, vous devez écrire un script qui s'exécute au cours d'une opération précise (tâche administrative). Vous pouvez spécifier si DRA applique le déclencheur avant (avant la tâche) ou après (après la tâche) l'exécution d'une opération. Dans le script de déclencheur, vous pouvez définir des messages d'erreur à afficher chaque fois que le déclencheur échoue. Vous pouvez également spécifier un message d'erreur par défaut à l'aide de l'assistant de création de déclencheurs d'automatisation. Pour obtenir de plus amples renseignements sur l'écriture de déclencheurs personnalisés, l'affichage d'une liste d'opérations d'administration ou l'utilisation de tableaux d'arguments, consultez le SDK. NOTE:
Pour implémenter un déclencheur d'automatisation :
IMPORTANT:Si vous avez plus d'un ActiveView configuré pour un déclencheur en ajoutant une virgule entre les ActiveViews, ces ActiveViews seront séparés en deux dans le déclencheur lors de la mise à niveau vers une nouvelle version de DRA et le déclencheur ne s'exécutera pas. Pour que l'opération puisse s'exécuter après la mise à niveau, le déclencheur devra être reconfiguré ou un nouveau déclencheur devra être créé. 15.0 Processus de travail automatiséGrâce à l'automatisation du processus de travail, vous pouvez automatiser les processus informatiques en créant des formulaires de processus de travail personnalisés qui s'exécutent en même temps que les processus de travail ou lorsqu'ils sont déclenchés par un événement de processus de travail nommé créé sur le serveur d'automatisation du processus de travail. Lorsque vous créez un formulaire de processus de travail, vous définissez les groupes d’administrateurs pouvant afficher le formulaire. La soumission d'un formulaire ou l'exécution du processus de travail dépend des pouvoirs délégués au groupe ou aux groupes inclus lors de la création du formulaire de processus de travail. Les formulaires de processus de travail sont enregistrés sur le serveur Web lorsqu'ils sont créés ou modifiés. Les administrateurs assistants qui se connectent à la console Web pour ce serveur auront accès aux formulaires en fonction de leur configuration. Les formulaires sont généralement disponibles pour tous les utilisateurs disposant des informations d'identification du serveur Web. Vous limitez l'accès à un formulaire précis en ajoutant des groupes d'administrateurs adjoints, puis en masquant le formulaire aux autres utilisateurs. Pour pouvoir soumettre le formulaire, il faut disposer de l'un des pouvoirs suivants :
Lancer un formulaire de processus de travail : Les processus de travail sont créés dans le serveur d'automatisation du processus de travail, qui doit être intégré à DRA à l'aide de la console de délégation et de configuration. Pour enregistrer un nouveau formulaire, l'option ou doit être configuré dans les propriétés du formulaire. De plus amples renseignements sur ces options sont fournis ci-dessous :
NOTE:Seuls les requêtes de processus de travail configurés avec Lancer un processus de travail précis auront un historique d'exécution qui peut être interrogé dans le volet de recherche principal sous > (Tâches > Requêtes). Vous pouvez modifier une requête existante ou en créer une autre. Pour créer une requête de processus de travail ou pour modifier une requête existante, accédez à > > (Tâches > Personnalisation > Processus de travail - Requêtes). Pour créer une requête, suivez ces étapes de base :
Pour des informations sur la configuration du serveur d'automatisation du processus de travail, consultez la rubrique Configuration du serveur d'automatisation du processus de travail et pour la personnalisation des demandes de processus de travail, consultez la rubrique Personnalisation des formulaires de requête. VI Auditer et créer des rapportsL’audit des actions des utilisateurs est l’un des aspects les plus importants d’une bonne mise en œuvre de la sécurité. Afin de permettre la vérification et la création de rapport sur les actions de l'administrateur assistant, DRA enregistre toutes les opérations de l'utilisateur dans l'archive des journaux sur l'ordinateur du serveur d'administration. DRA fournit des rapports clairs et complets qui incluent les valeurs d'avant et d'après les événements audités afin que vous puissiez voir exactement ce qui a changé. 16.0 Activité d'auditL'audit des activités dans les journaux des événements peut vous aider à isoler, diagnostiquer et résoudre les problèmes de votre environnement. Cette section fournit de l'information pour vous aider à activer et à comprendre la journalisation des événements et à utiliser les archives de journaux. 16.1 Journal des événements Windows natifAfin de permettre la vérification et la création de rapport sur les actions de l'administrateur assistant, DRA enregistre toutes les opérations de l'utilisateur dans l'archive des journaux sur l'ordinateur du serveur d'administration. Les opérations utilisateur incluent toutes les tentatives de modification de définitions telles que la mise à jour de comptes d’utilisateurs, la suppression de groupes ou la redéfinition d'ActiveViews. DRA enregistre également des opérations internes précises telles que l'initialisation du serveur d'administration et les informations relatives au serveur. En plus de la journalisation de ces événements d'audit, DRA enregistre les valeurs avant et après de l'événement, afin que vous puissiez voir exactement ce qui a changé. DRA utilise un dossier, , appelé pour stocker en toute sécurité les données archivées. DRA archive les journaux au fil du temps et supprime ensuite les données plus anciennes pour faire de la place aux données plus récentes par un processus appelé nettoyage. DRA utilise les événements d'audit stockés dans les fichiers d'archive de journal pour afficher les rapports d'activité détaillés tels que les modifications apportées à un objet au cours d'une période spécifiée. Vous pouvez également configurer DRA pour exporter les informations de ces fichiers d'archivage de journaux vers une base de données SQL Server utilisée par NetIQ Reporting Center pour afficher les rapports de gestion. DRA consigne toujours des événements d'audit dans l'archive de journal. Vous pouvez également activer ou désactiver la consignation d'événements par DRA dans les journaux d'événements Windows. 16.1.1 Activer et désactiver l'audit du journal des événements Windows pour DRALorsque vous installez DRA, les événements d'audit ne sont pas enregistrés dans le journal des événements Windows par défaut. Vous pouvez activer ce type de journalisation en modifiant une clé de registre. WARNING:Soyez prudent lorsque vous modifiez votre registre Windows. S'il y a une erreur dans votre registre, votre ordinateur peut devenir non fonctionnel. Si une erreur se produit, vous pouvez restaurer le registre à son état lors du dernier démarrage de votre ordinateur. Pour obtenir de plus amples renseignements, consultez l'aide de l'éditeur de registre Windows. Pour activer l'audit d'événements :
Pour désactiver l'audit d'événements :
16.1.2 Assurer l'intégrité des auditsPour s'assurer que toutes les actions des utilisateurs sont auditées, DRA fournit d'autres méthodes de journalisation lorsque le produit ne peut pas vérifier l'activité de journalisation. Lorsque vous installez DRA, la clé AuditFailsFilePath et son chemin sont ajoutés à votre registre pour garantir les actions suivantes :
Pour activer les opérations d'écriture lorsque l'archive de journal n'est pas disponible, vous devez également définir une valeur de clé de registre pour la clé AllowOperationsOnAuditFailure. WARNING:Soyez prudent lorsque vous modifiez votre registre Windows. S'il y a une erreur dans votre registre, votre ordinateur peut devenir non fonctionnel. Si une erreur se produit, vous pouvez restaurer le registre à son état lors du dernier démarrage de votre ordinateur. Pour obtenir de plus amples renseignements, consultez l'aide de l'éditeur de registre Windows. Pour activer les opérations d'écriture :
16.2 Comprendre les archives de journauxDRA enregistre les données d'activité de l'utilisateur dans des archives de journaux sur le serveur d'administration. DRA crée chaque jour des partitions d'archives de journaux pour stocker les données collectées et normalisées ce jour-là. DRA utilise la date à l'heure locale sur le serveur d'administration (AAAMMJJ) comme convention de nommage pour les partitions quotidiennes d'archives de journaux. Si vous avez activé le collecteur de rapports de gestion, DRA exporte les données d'archives de journaux vers une base de données SQL Server en tant que source des rapports de gestion DRA. Initialement, DRA conserve indéfiniment les données de journal dans l'archive de journal par défaut. La taille des archives de journaux peut atteindre une valeur maximale déterminée au moment de l'installation en fonction de l'espace disponible sur le disque dur. Lorsqu'une archive de journal dépasse cette taille maximale, aucun nouvel événement d'audit n'est stocké. Vous pouvez définir une limite de temps de conservation des données. DRA supprime les données les plus anciennes pour laisser de la place aux données les plus récentes grâce à un processus appelé nettoyage. Assurez-vous d'avoir une stratégie de sauvegarde en place avant d'activer le nettoyage. Vous pouvez configurer la période de conservation des archives de journaux à l'aide de l'utilitaire Log Archive Configuration (Configuration d'archives de journaux). Pour obtenir de plus amples renseignements, consultez Modifier les paramètres de nettoyage des archives de journaux. 16.2.1 Utiliser l'utilitaire Log Archive Viewer (Visualisateur d'archives de journaux)Vous utilisez l'utilitaire Log Archive Viewer pour afficher les données stockées dans les fichiers d'archives de journaux. NetIQ DRA Log Archive Resource Kit (LARK), que vous pouvez choisir d'installer avec DRA, fournit l'utilitaire Log Archive Viewer. Pour obtenir de plus amples renseignements, consultez le Guide technique de NetIQ DRA Log Archive Resource Kit. 16.2.2 Sauvegarde des fichiers d'archives de journauxUn est une collection de blocs d'enregistrement. Les fichiers d'archives de journaux étant des fichiers binaires compressés situés en dehors d'une base de données physique, vous n'avez pas besoin d'utiliser Microsoft SQL Server Management Studio pour sauvegarder les archives de journaux. Si vous disposez d'un système de sauvegarde de fichiers automatisé, vos fichiers d'archives de journaux sont sauvegardés automatiquement, comme tout autre fichier. N'oubliez pas les meilleures pratiques suivantes lors de la planification de votre stratégie de sauvegarde :
16.2.3 Modifier les paramètres de nettoyage des archives de journauxLorsque vous installez DRA, le nettoyage des archives de journaux est désactivé par défaut. Lorsque vous établissez des procédures de sauvegarde régulières pour vos fichiers d'archives de journaux, vous devez activer le nettoyage d'archives de journaux pour économiser de l'espace sur le disque. Vous pouvez modifier le nombre de jours qui doit s'écouler avant le nettoyage des partitions d'archives de journaux à l'aide de l'utilitaire Log Archive Configuration. Pour changer le nombre de jours qui doit s'écouler avant que les partitions d'archives de journaux ne soient nettoyées :
Pour permettre au serveur d'archives de journaux DRA de nettoyer des données non archivées :
17.0 Création de rapportsCette section fournit des informations permettant de comprendre et d'activer les rapports DRA, la collecte de données de rapports, la collecte et la création de rapports ActiveView Analyzer et d'accéder aux rapports intégrés. DRA désactive les fonctions et les rapports que votre licence ne prend pas en charge. Vous devez également disposer des pouvoirs appropriés pour exécuter et afficher les rapports. Par conséquent, vous pouvez ne pas avoir accès à certains rapports. Les rapports détaillés d'activité sont disponibles dans la console de délégation et de configuration dès que vous installez DRA afin de fournir les derniers détails sur les changements apportés à votre réseau.
17.1 Gérer la collecte de données pour la création de rapportsDRA Reporting utilise deux méthodes de création de rapports vous permettant de visualiser les dernières modifications apportées à votre environnement ainsi que de collecter et d'examiner les définitions de compte d’utilisateur, de groupe et de ressource de votre domaine. Rapports détaillés d'activité Accessibles à l'aide de la console de délégation et de configuration, ces rapports fournissent des informations en temps réel sur les changements des objets dans votre domaine. Rapports de gestion de DRAAccessibles à l'aide de NetIQ Reporting Center (Reporting Center), ces rapports fournissent des informations sur l'activité, la configuration et la synthèse des événements survenus dans vos domaines gérés. Certains rapports sont disponibles sous forme de représentations graphiques des données. Par exemple, vous pouvez afficher une liste des modifications apportées à un objet ou par un objet au cours d'une période donnée à l'aide des rapports détaillés d'activité. Vous pouvez également afficher un graphique indiquant le nombre d'événements dans chaque domaine géré au cours d'une période précise à l'aide des rapports de gestion. La création de rapports vous permet également d'afficher des détails sur le modèle de sécurité de DRA tels que les définitions de groupes ActiveView et Administrateurs assistants. Les rapports de gestion de DRA peuvent être installés et configurés en tant que fonctionnalité facultative et sont affichés dans Reporting Center. Lorsque vous activez et configurez la collecte de données, DRA collecte des informations sur les événements audités et les exporte vers une base de données SQL Server selon une planification que vous définissez. Lorsque vous vous connectez à cette base de données dans Reporting Center, vous avez accès à plus de 60 rapports intégrés :
Pour obtenir de plus amples renseignements sur la configuration de la collecte de données pour les rapports de gestion, consultez le Configurer la création des rapports. 17.1.1 Afficher l'état des collecteursVous pouvez afficher les détails de chaque collecteur de données dans l'onglet État des collecteurs. Pour afficher l'état des collecteurs :
17.1.2 Activer la création de rapports et la collecte de donnéesAprès avoir installé les composants de DRA Reporting, activez et configurez la collecte de données de rapport pour accéder aux rapports de Reporting Center. Pour activer la création des rapports et la collecte des données :
Pour obtenir de plus amples renseignements sur la configuration de collecteurs précis, consultez Configurer la création des rapports. 17.2 Rapports intégrésLes rapports intégrés vous permettent de générer des rapports sur les modifications, les listes et les détails sur les objets. Ces rapports ne font pas partie des services de création de rapports de DRA et aucune configuration n'est requise pour activer les rapports d'historique des modifications intégrés. Référez-vous aux rubriques de cette section pour savoir comment accéder à ces rapports. NOTE:Les rapports sur l'historique des modifications peuvent également être consultés pour des événements extérieurs à DRA lorsque DRA est intégré à Change Guardian. Pour de plus amples renseignements sur ces types de rapports et la configuration d'un serveur Change Guardian, consultez la rubrique Historique des modifications unifié. 17.2.1 Créer des rapports sur les modifications d'objetVous pouvez afficher les informations de modification en temps réel des objets de vos domaines en générant des rapports d'activité détaillés. Par exemple, vous pouvez afficher une liste des modifications apportées à un objet ou par un objet au cours d'une période donnée. Vous pouvez également exporter et imprimer des rapports d'activité détaillés. Pour créer un rapport sur les modifications d'objet :
17.2.2 Créer des rapports sur les listes d'objetsVous pouvez exporter ou imprimer des données à partir de listes d'objets. Grâce à cette fonctionnalité, vous pouvez rapidement et facilement créer des rapports et distribuer des informations générales sur vos objets gérés. Lorsque vous exportez une liste d'objets, vous pouvez spécifier l'emplacement, le nom et le format du fichier. DRA prend en charge les formats HTML, CSV et XML, ce qui vous permet d'exporter ces informations vers des applications de base de données ou de publier des résultats de liste sur une page Web. NOTE:Vous pouvez également sélectionner plusieurs éléments dans une liste, puis les copier dans une application de texte telle que Bloc-notes. Pour créer un rapport sur les listes d'objets :
17.2.3 Créer des rapports sur les détails d'objetsVous pouvez exporter ou imprimer des données à partir d'onglets de détails répertoriant les attributs d'objet, tels que les adhésions à un groupe. Grâce à cette fonctionnalité, vous pouvez rapidement et facilement créer des rapports et distribuer les informations fréquemment demandées sur des objets précis. Lorsque vous exportez un onglet de détails d'objets, vous pouvez spécifier l'emplacement, le nom et le format du fichier. DRA prend en charge les formats HTML, CSV et XML, ce qui vous permet d'exporter ces informations vers des applications de base de données ou de publier des résultats de liste sur une page Web. Pour créer un rapport sur les détails d'objets :
VII Fonctionnalités supplémentairesLes affectations de groupe temporaires, les groupes dynamiques, l'horodatage des événements et le mot de passe de récupération BitLocker sont des fonctionnalités supplémentaires de DRA que vous pouvez utiliser dans votre environnement d'entreprise. 18.0 Affectations de groupe temporairesDRA vous permet de créer des affectations de groupe temporaires offrant aux utilisateurs autorisés un accès temporaire aux ressources. Les administrateurs assistants peuvent utiliser des affectations de groupe temporaires pour affecter des utilisateurs à un groupe cible pour une période donnée. À la fin de la période, DRA supprime automatiquement les utilisateurs du groupe. Le rôle Gérer les affectations de groupe temporaires confère aux administrateurs assistants le pouvoir de créer et de gérer des affectations de groupe temporaires. Les administrateurs assistants ne peuvent consulter que les affectations de groupe temporaires pour lesquels l'administrateur assistant a le pouvoir d'ajouter ou de retirer des membres. Utilisez les pouvoirs suivants pour déléguer la création et la gestion des affectations de groupe temporaires :
Le groupe cible et les utilisateurs doivent appartenir au même ActiveView. NOTE:
Exemple :Robert, le responsable des ressources humaines, informe Jean, un administrateur du service d'assistance, que l'entreprise a engagé un employé temporaire nommé Jean pour une période déterminée afin de mener à bien un projet. Jean fait ce qui suit :
Résultat attendu : Par défaut, à l'expiration de l'AGT, l'adhésion de Joseph sera retirée du groupe des ressources humaines. Cette AGT restera disponible pendant sept jours, à moins que Jean n'ait choisi l'option (Conserver cette affectation de groupe temporaire pour une utilisation future). Pour obtenir de plus amples renseignements sur la création et l'utilisation des affectations de groupe temporaires, consultez le Guide de l'utilisateur. 19.0 Groupes dynamiques DRAUn groupe dynamique est un groupe dont l’adhésion change en fonction d’un ensemble de critères que vous configurez dans les propriétés du groupe. Vous pouvez rendre n'importe quel groupe dynamique ou supprimer le filtre dynamique de tout groupe pour lequel il est configuré. Cette fonctionnalité permet également d’ajouter des membres du groupe à une liste statique ou à une liste d'exclusion. Les membres des groupes figurant sur ces listes ne seront pas touchés par les critères dynamiques. Si un groupe dynamique redevient un groupe normal, tous les éléments de la liste des membres statiques seront ajoutés aux membres du groupe et les membres exclus ainsi que les filtres dynamiques seront ignorés. Vous pouvez transformer des groupes existants en groupes dynamiques ou créer un nouveau groupe dynamique dans la console de délégation et de configuration et dans la console Web. Pour rendre un groupe dynamique :
Pour créer un nouveau groupe dynamique :
20.0 Fonctionnement de l'horodatage des événementsLorsque vous configurez un attribut pour un type d'objet et que DRA effectue l'une des opérations prises en charge, cet attribut est mis à jour (marqué) à l'aide d'informations spécifiques de DRA, y compris l'identité de la personne qui a effectué l'opération. Cela force AD à générer un événement d'audit pour ce changement d'attribut. Par exemple, supposons que vous ayez sélectionné l'attribut extensionAttribute1 en tant qu'attribut d'utilisateur et que l'audit AD DS soit configuré. Chaque fois qu'un administrateur assistant met à jour un utilisateur, DRA met à jour l'attribut extensionAttribute1 avec les données d'horodatage des événements. Cela signifie que, parallèlement aux événements AD DS pour chaque attribut mis à jour par l'administrateur assistant (par exemple, description, nom, etc.), il y aura un événement AD DS supplémentaire pour l'attribut extensionAttribute1. Chacun de ces événements contient un ID de corrélation identique pour chaque attribut modifié lors de la mise à jour de l'utilisateur. C’est ainsi que les applications peuvent associer les données d’horodatage des événements aux autres attributs mis à jour. 20.1 L'événement AD DSVous verrez un événement comme celui-ci dans le journal des événements de sécurité Windows chaque fois que DRA exécute une opération prise en charge.
La valeur de l'événement se compose de deux parties. La première est une chaîne XML contenant les données d'horodatage des événements. La deuxième est une signature des données pouvant être utilisée pour vérifier que les données ont été générées par DRA. Pour valider la signature, une application doit avoir la clé publique pour la signature. La chaîne XML comprend les informations suivantes :
20.2 Opérations prises en charge
21.0 Mot de passe de récupération BitLockerMicrosoft BitLocker stocke ses mots de passe de récupération dans Active Directory. À l'aide de la fonctionnalité de récupération DRA BitLocker, vous pouvez déléguer des pouvoirs aux administrateurs assistants pour rechercher et récupérer les mots de passe BitLocker perdus pour les utilisateurs finaux. IMPORTANT:Avant d'utiliser la fonction Mot de passe de récupération BitLocker, assurez-vous que votre ordinateur est affecté à un domaine et que BitLocker est activé. 21.1 Afficher et copier un mot de passe de récupération BitLockerSi le mot de passe BitLocker d'un ordinateur est perdu, il peut être réinitialisé en utilisant la clé de récupération du mot de passe depuis les propriétés de l'ordinateur dans Active Directory. Copiez la clé du mot de passe et fournissez-la à l'utilisateur final. Pour afficher et copier le mot de passe de récupération :
21.2 Trouver un mot de passe de récupérationSi le nom d'un ordinateur a été modifié, le mot de passe de récupération doit être recherché dans le domaine en utilisant les huit premiers caractères de l'ID de mot de passe. Pour trouver un mot de passe de récupération en utilisant un ID de mot de passe :
22.0 CorbeilleVous pouvez activer ou désactiver la Corbeille pour chaque domaine Microsoft Windows ou pour les objets au sein de ces domaines, ce qui permet de contrôler la gestion des comptes au sein de votre entreprise. Si vous activez la Corbeille, puis supprimez un compte d'utilisateur, un groupe, un groupe de distribution dynamique, un groupe dynamique, une boîte aux lettres de ressources, un contact ou un compte d'ordinateur, le serveur d'administration désactive le compte sélectionné et le déplace vers le conteneur Corbeille. Une fois que DRA a déplacé le compte vers la Corbeille, le compte ne s'affiche pas dans les ActiveView auxquelles il appartenait. Si vous supprimez un compte d’utilisateur, un groupe, un contact ou un compte d'ordinateur lorsque la Corbeille est désactivée, le serveur d'administration supprime définitivement le compte sélectionné. Vous pouvez désactiver une Corbeille contenant des comptes précédemment supprimés. Cependant, une fois la Corbeille désactivée, ces comptes ne sont plus disponibles dans le nœud Corbeille. 22.1 Affecter des pouvoirs de CorbeillePour permettre à un administrateur assistant de supprimer définitivement des comptes du nœud Tous mes objets gérés ainsi que de la Corbeille, attribuez le pouvoir correspondant dans la liste suivante :
Si plusieurs serveurs d'administration gèrent différentes sous-arborescences dans le même domaine Microsoft Windows, vous pouvez utiliser la Corbeille pour afficher tout compte supprimé de ce domaine, quel que soit le serveur d'administration qui gère ce compte. 22.2 Utiliser la CorbeilleUtilisez la Corbeille pour supprimer définitivement des comptes, restaurer des comptes ou afficher les propriétés des comptes supprimés. Vous pouvez également rechercher des comptes précis et surveiller le nombre de jours pendant lesquels un compte supprimé rester dans la Corbeille. Un onglet Corbeille est également inclus dans la fenêtre Propriétés d'un domaine sélectionné. Dans cet onglet, vous pouvez désactiver ou activer la Corbeille pour l'ensemble du domaine ou pour des objets précis; vous pouvez également planifier un nettoyage de la Corbeille. Utilisez les options Restaurer tout ou Vider la Corbeille pour restaurer ou supprimer rapidement et facilement ces comptes. Lorsque vous restaurez un compte, DRA le rétablit, y compris toutes les autorisations, les délégations de pouvoir, les attributions de stratégies, les adhésions aux groupes et les adhésions aux ActiveView. Si vous supprimez définitivement un compte, DRA supprime ce compte d'Active Directory. Pour garantir une suppression sécurisée des comptes, seuls les administrateurs assistants disposant des pouvoirs suivants peuvent supprimer définitivement les comptes de la Corbeille :
Pour restaurer un compte à partir de la Corbeille, les administrateurs assistants doivent disposer des pouvoirs suivants dans l'unité organisationnelle contenant le compte :
NOTE:
VIII Personnalisation du clientVous pouvez personnaliser le client de délégation et de configuration et la console Web. Le client de délégation et de configuration requiert un accès physique ou à distance et des identifiants de compte. La console Web quant à elle nécessite l'URL du serveur et les informations d'identification du compte pour se connecter à partir d'un navigateur Web. 23.0 Client de délégation et de configurationCette section contient de l'information qui vous aidera à personnaliser le client de délégation et de configuration. Grâce à cette section, vous pourrez notamment créer des pages de propriétés personnalisées, créer des outils personnalisés dans DRA pouvant être exécutés sur les ordinateurs clients et les serveurs du réseau. Vous pourrez également personnaliser la configuration de l'interface utilisateur. 23.1 Personnaliser les pages des propriétésVous pouvez personnaliser et étendre la console de délégation et de configuration en implémentant des propriétés personnalisées. Les propriétés personnalisées vous permettent d’ajouter des comptes propriétaires et des propriétés d’unités organisationnelles, telles que des extensions de schéma et des attributs virtuels Active Directory, à des assistants et à des fenêtres de propriétés en particulier. Ces extensions vous permettent de personnaliser DRA pour répondre à vos besoins particuliers. À l'aide de l'assistant Nouvelle page personnalisée de la console de délégation et de configuration, vous pouvez créer rapidement et facilement une page personnalisée pour étendre l'interface utilisateur appropriée. Si vos administrateurs assistants ont besoin de pouvoirs uniques pour gérer la page personnalisée en toute sécurité, vous pouvez également créer et déléguer des pouvoirs personnalisés. Par exemple, vous pouvez décider de limiter la gestion des comptes d'utilisateurs aux propriétés de la page personnalisée uniquement. Pour obtenir de plus amples renseignements, consultez Mise en œuvre des pouvoirs personnalisés.
23.1.1 Fonctionnement des pages de propriétés personnaliséesLes extensions d'interface utilisateur sont des pages personnalisées que DRA affiche dans l'assistant et les fenêtres de propriétés appropriés. Vous pouvez configurer des pages personnalisées pour exposer les attributs, les extensions de schéma et les attributs virtuels Active Directory dans la console de délégation et de configuration. Lorsque vous sélectionnez un attribut, une extension de schéma ou un attribut virtuel Active Directory pris en charge, vous pouvez utiliser des pages personnalisées comme indiqué ci-après :
Vous pouvez également configurer la façon dont DRA affiche et applique ces propriétés. Par exemple, vous pouvez définir des contrôles d'interface utilisateur avec des valeurs de propriété par défaut. DRA applique des pages personnalisées à tous les objets gérés applicables de votre entreprise. Par exemple, si vous créez une page personnalisée pour ajouter des extensions de schéma Active Directory à la fenêtre Propriétés du groupe, DRA applique les propriétés de cette page à chaque groupe géré dans un domaine prenant en charge les extensions de schéma spécifiées. Chaque page personnalisée nécessite un ensemble unique de propriétés. Vous ne pouvez pas ajouter un attribut Active Directory à plus d'une page personnalisée. Vous ne pouvez pas désactiver des fenêtres ou des onglets individuels dans l'interface utilisateur existante. Un administrateur assistant peut sélectionner une valeur de propriété à l'aide de l'interface utilisateur par défaut ou d'une page personnalisée. DRA applique la dernière valeur sélectionnée pour une propriété. DRA fournit un suivi d'audit complet pour les propriétés personnalisées. DRA enregistre les données suivantes dans le journal des événements de l'application :
Vous pouvez également exécuter des rapports d'activité de modification pour surveiller les modifications de configuration des propriétés personnalisées. Implémentez et modifiez des pages personnalisées à partir du serveur d'administration principal. Au cours de la synchronisation, DRA réplique les configurations de page personnalisées sur l'ensemble multimaître. Pour obtenir de plus amples renseignements, consultez Configurer l'ensemble multimaître. 23.1.2 Pages personnalisées prises en chargeChaque page personnalisée que vous créez vous permet de sélectionner un ensemble de propriétés Active Directory, d'extensions de schéma ou d'attributs virtuels et d'exposer ces propriétés sous la forme d'un onglet personnalisé. Vous pouvez créer les types de pages personnalisées suivants : Page utilisateur personnalisée Vous permet d'afficher des onglets personnalisés dans les fenêtres suivantes :
Vous permet d'afficher des onglets personnalisés dans les fenêtres suivantes :
Vous permet d'afficher des onglets personnalisés dans les fenêtres suivantes :
Vous permet d'afficher des onglets personnalisés dans les fenêtres suivantes :
Vous permet d'afficher des onglets personnalisés dans les fenêtres suivantes :
Vous permet d'afficher des onglets personnalisés dans les fenêtres suivantes :
Vous permet d'afficher des onglets personnalisés dans les fenêtres suivantes :
23.1.3 Contrôles de propriétés personnalisées pris en chargeLorsque vous ajoutez un attribut Active Directory, une extension de schéma ou un attribut virtuel à une page personnalisée, vous configurez également le contrôle d'interface utilisateur avec lequel un administrateur assistant entre la valeur de la propriété. Par exemple, vous pouvez spécifier les valeurs de propriété de différentes façons :
Vous pouvez également configurer le contrôle de l'interface utilisateur pour afficher des informations ou des instructions propriétaires. Par exemple, si vous définissez une plage précise pour un numéro d'identification d'employé, vous pouvez configurer l'étiquette de contrôle de la zone de texte pour afficher . Chaque contrôle d'interface utilisateur prend en charge un seul attribut, une extension de schéma ou un attribut virtuel Active Directory. Configurez les contrôles d'interface utilisateur suivants en fonction du type de propriété :
23.1.4 Utiliser des pages personnaliséesVous pouvez créer des pages personnalisées à partir du nœud Extensions de l'interface utilisateur. Une fois qu'une page est créée, vous pouvez ajouter ou supprimer des propriétés d'attribut AD et désactiver ou supprimer la page. Pour chaque personnalisation que vous souhaitez configurer, créez une page personnalisée et attribuez le pouvoir ou le rôle approprié à l'administrateur assistant. Tenez compte des meilleures pratiques ci-dessous lorsque vous commencez à utiliser des pages personnalisées :
Pour implémenter la personnalisation des propriétés, vous devez disposer des pouvoirs inclus dans le rôle Administration DRA. Pour obtenir de plus amples renseignements sur les pages personnalisées, consultez la rubrique Fonctionnement des pages de propriétés personnalisées. 23.1.5 Créer des pages de propriétés personnaliséesVous pouvez créer différentes propriétés personnalisées en créant différentes pages personnalisées. Par défaut, les nouvelles pages personnalisées sont activées. Lorsque vous créez une page personnalisée, vous pouvez la désactiver. La désactivation d'une page personnalisée la masque de l'interface utilisateur. Si vous créez plusieurs pages personnalisées, vous pouvez désactiver les pages jusqu'à ce que vos personnalisations soient testées et terminées. NOTE:Les comptes d'ordinateur héritent des attributs Active Directory des comptes d’utilisateurs. Si vous étendez votre schéma Active Directory pour inclure des attributs supplémentaires pour les comptes d’utilisateurs, vous pouvez sélectionner ces attributs lorsque vous créez une page personnalisée pour gérer les comptes d'ordinateur. Pour créer une page de propriétés personnalisée :
23.1.6 Modifier des propriétés personnaliséesVous pouvez modifier une page personnalisée en modifiant les propriétés personnalisées. Pour modifier des propriétés personnalisées :
23.1.7 Identifier les attributs Active Directory gérés avec des pages personnaliséesVous pouvez rapidement identifier les propriétés Active Directory, les extensions de schéma ou les attributs virtuels qui sont gérés en utilisant une page personnalisée particulière. Pour identifier les propriétés d'Active Directory gérées à l'aide de pages personnalisées :
23.1.8 Activer, désactiver et supprimer des pages personnaliséesLorsque vous activez une page personnalisée, DRA ajoute cette page personnalisée aux assistants et aux fenêtres associés. Pour spécifier les assistants et les fenêtres affichant une page personnalisée, modifiez les propriétés de la page personnalisée. NOTE:Pour s'assurer que chaque page personnalisée expose un ensemble unique de propriétés, DRA n'active pas les pages personnalisées contenant des propriétés exposées sur d'autres pages personnalisées. Lorsque vous désactivez une page personnalisée, DRA supprime cette page personnalisée dans les assistants et les fenêtres associés. DRA ne supprime pas la page personnalisée. Pour vous assurer qu'une page personnalisée ne s'affiche jamais dans l'interface utilisateur, supprimez la page personnalisée. Lorsque vous supprimez une page personnalisée, DRA supprime cette page personnalisée dans les assistants et les fenêtres associés. Vous ne pouvez pas restaurer une page personnalisée supprimée. Pour supprimer temporairement une page personnalisée de l'interface utilisateur, désactivez-la. Pour activer, désactiver ou supprimer une page personnalisée, accédez au nœud > et sélectionnez l'action souhaitée dans le menu Tâches ou cliquez dessus avec le bouton droit de la souris. 23.1.9 Interface de ligne de commandeL'interface de ligne de commande vous permet d’accéder aux puissantes fonctionnalités du produit d'administration et de les appliquer à l’aide de commandes ou de fichiers de traitement par lots. Avec l'interface de ligne de commande, vous pouvez émettre une seule commande pour implémenter les modifications sur plusieurs objets. Par exemple, si vous devez déplacer les répertoires privés de 200 employés sur un nouveau serveur, à l'aide de l'interface de ligne de commande, vous pouvez entrer la commande unique suivante pour modifier les 200 comptes d’utilisateurs : EA USER @GroupUsers(HOU_SALES),@GroupUsers(HOU_MIS) UPDATE HOMEDIR:\\HOU2\USERS\@Target() Cette commande demande à DRA de modifier le champ du répertoire privé de chacun des 200 comptes d’utilisateurs de HOU_SALES et les groupes HOU_MIS en \\HOU2\USERS\user_id. Pour accomplir cette tâche avec les outils d'administration Microsoft Windows natifs, vous devez effectuer au moins 200 actions distinctes. NOTE:L'outil Interface de ligne de commande sera obsolète dans les versions futures à mesure que d'autres fonctionnalités seront ajoutées à PowerShell. 23.2 Outils personnalisésLes outils personnalisés peuvent être utilisés pour appeler n'importe quelle application à exécuter sur les ordinateurs client et les serveurs du réseau en sélectionnant tout compte Active Directory géré dans DRA. DRA prend en charge deux types d’outils personnalisés :
Vous pouvez créer un outil personnalisé qui lance une analyse antivirus à partir de tous les ordinateurs sur lesquels le client DRA est installé. Vous pouvez également créer un outil personnalisé qui lance une application externe ou un outil nécessitant que DRA mette à jour un script périodiquement. Ces mises à jour périodiques peuvent être des modifications de la configuration ou des modifications de la règle de gestion. Par la suite, après les mises à jour périodiques, DRA réplique les outils personnalisés du serveur d'administration principal vers les serveurs d'administration secondaires et les ordinateurs clients DRA. Pour comprendre comment les outils personnalisés sont répliqués dans les ensembles multimaîtres du serveur, reportez-vous à Réplication de fichier. 23.2.1 Créer des outils personnalisésVous pouvez créer des outils personnalisés dans le serveur DRA principal en les associant à un objet Active Directory sélectionné ou à tous les objets Active Directory affichés dans cet assistant de création d'outils personnalisés. La même action sera répliquée sur les serveurs secondaires du MMS et sur les clients DRA grâce à la réplication de fichiers. Un nouvel outil personnalisé créera un menu et un sous-menu, si nécessaire, pour appeler l'opération sur le ou les objets Active Directory associés dans DRA. Vous pouvez déléguer des pouvoirs à des administrateurs assistants pour créer et exécuter des outils personnalisés, ainsi que pour accéder à l'application et l'exécuter. Lorsque vous créez un outil personnalisé, vous devez saisir ses paramètres, comme suit : Onglet Général
Onglet Objets pris en charge Sélectionnez l'objet AD requis ou tous les objets AD auxquels l'outil personnalisé créé doit être associé. Les options d'outil personnalisé actuellement prises en charge incluent : les domaines gérés, les conteneurs, les utilisateurs, les contacts, les groupes, les ordinateurs, les unités organisationnelles et les imprimantes publiées. NOTE:D'autres objets récemment introduits, tels que la boîte aux lettres de ressources, le groupe dynamique et le groupe dynamique Exchange, ne sont pas pris en charge avec les outils personnalisés. Onglet Paramètres d'application Emplacement de l'application : vous devez indiquer le chemin d'accès à l'application ou l'emplacement d'installation en copiant et en collant le chemin d'accès exact de l'application; vous pouvez également utiliser l'option . Ce même chemin doit déjà exister sur tous les serveurs DRA dans le MMS. Si nécessaire, vous pouvez utiliser Réplication de fichier pour téléverser et répliquer un fichier vers un chemin utilisable sur les serveurs MMS avant de créer un nouvel outil personnalisé. Vous pouvez également utiliser des variables DRA, des variables d’environnement et des valeurs de registre pour spécifier l’emplacement de l’application externe dans le champ Emplacement de l’application. Pour utiliser ces variables, cliquez sur , puis sélectionnez la variable que vous souhaitez utiliser. Après avoir inséré la variable, tapez une barre oblique inverse (\), puis spécifiez le reste du chemin d'accès à l'application, y compris le nom du fichier exécutable de l'application. Exemples :
Paramètres à transmettre à l'application : pour définir un paramètre à transmettre à une application externe, copiez-collez ou tapez un ou plusieurs paramètres dans le champ Paramètres à transmettre à l'application. DRA fournit des paramètres que vous pouvez utiliser dans le champ Paramètres à transmettre à l'application. Pour utiliser ces paramètres, cliquez sur Insérer et sélectionnez le ou les paramètres à utiliser. Lorsque vous fournissez une propriété de l'objet en tant que paramètre, assurez-vous que l'administrateur assistant dispose de l'autorisation de lecture requise sur la propriété de l'objet, ainsi que du pouvoir Exécuter les outils personnalisés pour exécuter l'outil personnalisé. Exemples :
Répertoire dans lequel l'application sera exécutée : il s'agit de l'emplacement où l'application doit être exécutée sur le poste client ou le serveur. Vous devez transmettre le chemin où l'application doit être exécutée. Vous pouvez également utiliser l'option « Insérer » de la même manière, le paramètre pour le champ « Emplacement de l'application » est transmis. Les autres paramètres de cet onglet servent implicitement à expliquer son utilisation. 23.3 Personnaliser l'interface utilisateurIl existe plusieurs options pour personnaliser la configuration de la console de délégation et de configuration. La plupart de ces options permettent de masquer, d'afficher ou de reconfigurer des fonctionnalités dans les différents volets de fonctionnalités de l'application. Vous pouvez également masquer ou afficher la barre d'outils, personnaliser le titre de l'application et ajouter, supprimer ou réorganiser des colonnes. Toutes ces options de personnalisation se trouvent dans le menu . 23.3.1 Modifier le titre de la consoleVous pouvez modifier les informations affichées dans la barre de titre de la console de délégation et de configuration. Pour plus de commodité et de clarté, vous pouvez ajouter le nom d'utilisateur avec lequel la console a été lancée et le serveur d'administration auquel la console est connectée. Pour des environnements complexes dans lesquels vous devez vous connecter à plusieurs serveurs d'administration à l'aide de différentes informations d'identification, cette fonctionnalité vous permet de déterminer rapidement la console à utiliser. Pour modifier la barre de titre de la console :
23.3.2 Personnaliser les colonnes de la listeVous pouvez sélectionner les propriétés de l'objet que DRA affiche dans les colonnes de liste. Cette fonctionnalité flexible vous permet de personnaliser des éléments de l'interface utilisateur comme les listes de résultats de recherche, afin de mieux répondre aux exigences propres à l'administration de votre entreprise. Par exemple, vous pouvez définir des colonnes pour afficher le nom de connexion de l'utilisateur ou le type de groupe, vous permettant ainsi de rechercher et de trier rapidement et efficacement les données dont vous avez besoin. Pour personnaliser les colonnes de la liste :
24.0 Client WebDans le client Web, vous pouvez personnaliser les propriétés des objets, les formulaires d'automatisation du processus de travail et la marque qui s'affiche sur l'interface utilisateur. Lorsqu'elles sont correctement implémentées, les personnalisations de propriété et de processus de travail permettent d'automatiser les tâches de l'administrateur assistant lors de la gestion des objets et des soumissions automatisées de processus de travail. 24.1 Personnaliser les pages des propriétésVous pouvez personnaliser les formulaires des propriétés de l'objet que vos administrateurs assistants utiliseront dans leurs rôles de gestion Active Directory par type d'objet. Cela comprend la création et la personnalisation de nouvelles pages d'objet basées sur les types d'objets qui sont intégrés dans DRA. Vous pouvez également modifier les propriétés des types d'objets intégrés. Les propriétés de l'objet sont clairement définies dans la liste accessible sur Customization > Property Pages (Personnalisation > Pages des propriétés) de la console Web afin que vous puissiez facilement reconnaitre les pages d'objet qui sont intégrées, les pages intégrées qui sont personnalisées et les pages non intégrées qui ont été créées par un administrateur. 24.1.1 Personnalisation d'une page des propriétés de l'objetVous pouvez personnaliser les formulaires des propriétés de l'objet en ajoutant ou en supprimant des pages, en modifiant des pages et des champs existants et en créant des gestionnaires personnalisés pour les attributs de propriété. Les gestionnaires personnalisés d'un champ sont exécutés chaque fois que la valeur de ce champ est modifiée. Il est possible de faire une planification de sorte que l'administrateur puisse spécifier si les gestionnaires doivent être exécutés immédiatement (à chaque pression sur une touche), lorsque le champ perd son focus, ou après un délai déterminé. La liste d'objets dans les pages des propriétés fournit les types d'opération pour chaque type d'objet, Créer un objet et Éditer les propriétés. Ce sont les principales opérations que vos administrateurs assistants effectuent dans la console Web. Pour effectuer ces opérations, ils doivent accéder à > or (Gestion > Recherche ou Recherche avancée). Ils peuvent y créer des objets à partir du menu déroulant Créer ou modifier les objets existants sélectionnés dans le tableau des résultats de la recherche grâce à l'icône Propriétés. Pour personnaliser une page de propriété de l'objet dans la console Web :
24.1.2 Créer une nouvelle page de propriété de l'objetPour créer une nouvelle page de propriété de l'objet :
24.2 Personnalisation des formulaires de requêteLes formulaires de requête sont enregistrés sur le serveur Web lorsqu'ils sont créés ou modifiés. L'administrateur DRA les gère à partir de > > (Administration > Personnalisation > Requêtes). Les administrateurs assistants les gèrent à partir de > (Tâches > Demandes). Ces formulaires permettent de soumettre des processus de travail automatisés créés dans le serveur d'automatisation de processus de travail. Les créateurs de formulaires utilisent ces demandes pour automatiser et améliorer davantage les tâches de gestion des objets. Vous pouvez ajouter et modifier des propriétés de formulaire existantes et des gestionnaires personnalisés. Le comportement de l'interface pour l'ajout et la personnalisation des propriétés est généralement le même dans un formulaire d'automatisation du processus de travail que pour la personnalisation des propriétés des objets, à l'exception des options de configuration du processus de travail et des contrôles permettant de savoir qui peut utiliser le formulaire. Reportez-vous aux rubriques ci-dessous pour de l'information sur l'ajout et la modification de propriétés, l'ajout de gestionnaires personnalisés et le fonctionnement de l'automatisation de processus de travail.
24.3 Ajouter des gestionnaires personnalisésLes gestionnaires personnalisés sont utilisés dans DRA pour que les attributs de propriété puissent interagir entre eux afin d'accomplir une tâche de processus de travail et pour les personnalisations de chargement et de soumission dans un processus de travail, une propriété ou un formulaire. Gestionnaires personnalisés de propriétéVoici quelques exemples de gestionnaires personnalisés de propriété :
Gestionnaires de chargement de formulaireLes gestionnaires de chargement de formulaire effectuent généralement des contrôles d'initialisation. Ils ne sont exécutés qu'une seule fois lors du chargement initial du formulaire. Dans le cas des pages de propriétés, ils sont exécutés avant que la requête sur les propriétés de l'objet sélectionné ne soit lancée sur le serveur. Gestionnaires de soumission du formulaireLes gestionnaires de soumission de formulaire permettent aux utilisateurs d'effectuer certaines validations et éventuellement d'annuler la soumission du formulaire si un problème survient. Pour obtenir des exemples plus détaillés de l'utilisation des gestionnaires personnalisés et des personnalisations dans la console Web, consultez les rubriques Personnalisation de la console Web et Personnalisation du processus de travail dans la référence Personnalisation du produit sur la page Documentation de DRA. Activer le JavaScript personnaliséPour des raisons de sécurité, le JavaScript personnalisé est désactivé par défaut. L'activation de JavaScript personnalisé permet aux administrateurs d'écrire des extraits de code JavaScript que la console Web exécutera tels quels. Vous ne devez autoriser cette exception que si vous comprenez et acceptez les risques. Pour permettre aux personnalisations d'inclure du code JavaScript personnalisé :
24.3.1 Étapes de base pour créer un gestionnaire personnalisé :Les étapes peuvent être utilisées à partir d'une page de gestionnaire personnalisé présélectionnée. Pour y arriver, vous devez accéder aux gestionnaires personnalisés de propriété de l'objet en utilisant l'icône des propriétés d'un champ de propriété. Vous accédez aux gestionnaires (Chargement du formulaire) et (Soumission du formulaire) à l'aide du bouton (Propriétés du formulaire) sur un formulaire de processus de travail sélectionné, une page Créer un objet ou une page Modifier les propriétés.
Pour obtenir des exemples plus détaillés de l'utilisation des gestionnaires personnalisés et des personnalisations dans la console Web, consultez les rubriques Personnalisation de la console Web et Personnalisation du processus de travail dans la référence Personnalisation du produit sur la page Documentation de DRA. 24.4 Personnaliser la marque sur l'interface utilisateurVous pouvez personnaliser la barre de titre de la console Web de DRA avec votre propre titre et votre propre logo. L'emplacement est directement à droite du nom du produit DRA. Étant donné que cet emplacement est également utilisé pour la navigation de niveau supérieur, il sera masqué par les liens de navigation de DRA de niveau supérieur après l'ouverture de session. Toutefois, l'onglet du navigateur continuera d'afficher le titre personnalisé. Pour personnaliser l'image de marque de la console Web de DRA :
IX Outils et utilitairesCes sections traitent de l'utilitaire Analyseur d'ActiveView, de l'utilitaire de diagnostic, de l'utilitaire d'objets supprimés, de l'utilitaire de contrôle de l'intégrité et de l'utilitaire de la Corbeille fourni avec DRA. 25.0 Utilitaire Analyseur d'ActiveViewChaque ActiveView de DRA contient une ou plusieurs règles, qui s'appliquent aux objets Active Directory (AD) gérés par un ensemble multimaîtres de DRA. L'utilitaire Analyseur d'ActiveView sert à surveiller le temps de traitement de chaque règle ActiveView de DRA telle qu'elle est appliquée aux objets AD au sein d'une opération DRA spécifique. Lors d'une opération DRA, le serveur DRA compare les objets cibles de cette opération à chaque règle de chaque ActiveView. DRA crée ensuite une liste de résultats contenant toutes les règles correspondantes. L'analyseur d'ActiveView calcule le temps passé à traiter chaque règle telle qu'elle est appliquée à une opération de DRA. Grâce à ces informations, vous pouvez diagnostiquer les problèmes liés à ActiveView en vérifiant les anomalies dans le temps de traitement ActiveView, y compris le temps passé à traiter des ActiveViews inutilisées. L'utilitaire simplifie également la recherche des ActiveViews en double. Après avoir effectué une collecte de données et consulté un rapport, il peut s'avérer nécessaire de modifier les règles d'une ou plusieurs ActiveViews. Vous pouvez accéder à l'utilitaire Analyseur d'ActiveView à partir de n'importe quel serveur d'administration DRA. Cependant, vous devez exécuter l'utilitaire d'ActiveView sur le serveur d'administration où vous rencontrez le problème. Pour accéder à l'utilitaire Analyseur d'ActiveView, connectez-vous au serveur d'administration avec les privilèges du rôle d'administration de DRA et accédez à > (Administration NetIQ > Utilitaire Analyseur d'ActiveView) dans le menu Démarrer. Vous pouvez également lancer ActiveViewAnalyzer.exe à partir du chemin d'accès Program Files (x86)\NetIQ\DRA\X64 installé par DRA. Utilisez cet utilitaire pour effectuer les opérations suivantes :
ExemplePaul, qui est un administrateur assistant, informe Robert, un administrateur de DRA, que la création d'utilisateurs semble prendre plus de temps que d'habitude. Robert décide de lancer l'analyseur ActiveView sur l'objet utilisateur de Paul et demande ensuite à Paul de créer un utilisateur. Après la collecte, Robert génère un rapport d'analyse et remarque qu'une règle appelée Share MBX prend 50 ms pour être énumérée. Robert identifie l'ActiveView qui contient la règle et, après avoir modifié la règle, observe que le problème est résolu. 25.1 Démarrer une collecte de données d'ActiveViewAvec l'analyseur d'ActiveView, vous pouvez collecter des données sur les ActiveViews à partir d’actions effectuées sur ceux-ci par des administrateurs assistants. Ces données peuvent ensuite être visualisées dans un rapport d'analyseur. Pour collecter les données, vous devez spécifier l'administrateur assistant sur lequel collecter les données, puis démarrer une collection ActiveView. NOTE:L'administrateur assistant sur lequel vous souhaitez collecter des données doit être connecté au même serveur DRA que celui sur lequel l'analyseur est exécuté. Pour démarrer une collecte ActiveView :
IMPORTANT:Si vous arrêtez la collecte et changez l'administrateur assistant ou relancez une collecte de données pour le même administrateur assistant, l'analyseur ActiveView efface les données existantes. Vous ne pouvez avoir les données de l'analyseur que pour un administrateur assistant de la base de données à la fois. 25.2 Générer un rapport d'analyseurAvant de générer un rapport d'analyseur, assurez-vous que vous avez cessé de collecter des données. Dans la page Analyseur d'ActiveView, la liste des opérations effectuées par l'administrateur assistant est affichée. Pour générer un rapport d'analyseur :
25.3 Identification de la performance des objetsPour identifier la performance de tous les objets gérés par un ActiveView ou une règle :
26.0 Utilitaire de diagnosticL'utilitaire de diagnostic recueille des informations sur votre serveur d'administration pour vous aider à diagnostiquer les problèmes liés à DRA. Utilisez cet utilitaire pour fournir des fichiers journaux à votre représentant d'assistance technique. L'utilitaire de diagnostic fournit une interface d'assistant qui vous guide dans la définition des niveaux de journal et la collecte des informations de diagnostic. Vous pouvez accéder à l'utilitaire de diagnostic à partir de n'importe quel ordinateur du serveur d'administration. Cependant, vous devez exécuter l'utilitaire de diagnostic sur le serveur d'administration où vous rencontrez le problème. Pour accéder à l'utilitaire de diagnostic, connectez-vous à l'ordinateur du serveur d'administration en utilisant un compte d'administrateur qui a des droits d'administrateur locaux et ouvrez l'utilitaire à partir du groupe de programmes d'administration de NetIQ dans le menu Démarrer de Windows. Pour obtenir de plus amples renseignements sur l'utilisation de cet utilitaire, contactez le service d'assistance technique. 27.0 Utilitaire d'objets supprimésCet utilitaire vous permet d'activer la prise en charge de l'actualisation du cache des comptes incrémentiels pour un domaine particulier lorsque le compte d'accès au domaine n'est pas un administrateur. Si le compte d'accès au domaine ne dispose pas d'autorisations de lecture sur le conteneur Objets supprimés du domaine, DRA ne peut pas actualiser le cache des comptes incrémentiels. Vous pouvez utiliser cet utilitaire pour effectuer les tâches suivantes :
Vous pouvez exécuter le fichier utilitaire d'objets supprimés (DraDelObjsUtil.exe) à partir du dossier Program Files (x86)\NetIQ\DRA de votre serveur d'administration. 27.1 Autorisations requises pour l'utilitaire d'objets supprimésPour utiliser cet utilitaire, vous devez disposer des autorisations suivantes :
27.2 Syntaxe pour l'utilitaire d'objets supprimésDRADELOBJSUTIL /DOMAIN: DOMAINNAME [/DC: COMPUTERNAME ] {/DELEGATE: ACCOUNTNAME | /VERIFY: ACCOUNTNAME | /REMOVE: ACCOUNTNAME | /DISPLAY [/RIGHT]} 27.3 Options pour l'utilitaire d'objets supprimésVous pouvez spécifier les options suivantes :
NOTE:
27.4 Exemple pour l'utilitaire d'objets supprimésLes exemples suivants illustrent des exemples de commandes pour des scénarios courants. 27.4.1 Exemple 1Pour vérifier que le compte d’utilisateur MYCOMPANY\JSmith dispose des autorisations de lecture sur le conteneur Objets supprimés du domaine hou.mycompany.com, saisissez : DRADELOBJSUTIL /DOMAIN:HOU.MYCOMPANY.COM /VERIFY:MYCOMPANY\JSMITH 27.4.2 Exemple 2Pour déléguer des autorisations de lecture sur le conteneur Objets supprimés dans le domaine MYCOMPANY du groupe MYCOMPANY\DraAdmins, entrez : DRADELOBJSUTIL /DOMAIN:MYCOMPANY /DELEGATE:MYCOMPANY\DRAADMINS 27.4.3 Exemple 3Pour déléguer des autorisations de lecture sur le conteneur Objets supprimés et le droit d'utilisateur Synchroniser des données du service d'annuaire dans le domaine MYCOMPANY du compte d’utilisateur MYCOMPANY\JSmith, entrez : DRADELOBJSUTIL /DOMAIN:MYCOMPANY /DELEGATE:MYCOMPANY\JSMITH /RIGHT 27.4.4 Exemple 4Pour afficher les paramètres de sécurité du conteneur Objets supprimés dans le domaine hou.mycompany.com à l'aide du contrôleur de domaine HQDC, entrez : DRADELOBJSUTIL /DOMAIN:HOU.MYCOMPANY.COM /DC:HQDC /DISPLAY 27.4.5 Exemple 5Pour supprimer des autorisations de lecture sur le conteneur Objets supprimés dans le domaine MYCOMPANY du groupe MYCOMPANY\DraAdmins, entrez : DRADELOBJSUTIL /DOMAIN:MYCOMPANY /REMOVE:MYCOMPANY\DRAADMINS 28.0 Utilitaire de contrôle de l'intégritéL'utilitaire de contrôle de l'intégrité de DRA est une application autonome fournie avec l'ensemble d'installation de DRA. Vous pouvez utiliser l’utilitaire de contrôle de l'intégrité après l’installation, ainsi qu’avant et après la mise à niveau, pour vérifier, valider et obtenir de l'information sur l’état des composants et des processus du serveur DRA, du site Web DRA et des clients DRA. Vous pouvez également l'utiliser pour installer ou mettre à jour une licence de produit, pour sauvegarder l'instance AD LDS avant une mise à niveau du produit, pour afficher la description des vérifications et pour résoudre les problèmes ou identifier les actions à entreprendre pour résoudre les problèmes, puis les revalider. L'utilitaire de contrôle de l'intégrité est accessible à partir du dossier du programme DRA après l'exécution du programme d'installation NetIQAdminInstallationKit.msi. Vous pouvez exécuter l'utilitaire de contrôle de l'intégrité à tout moment en exécutant le fichier NetIQ.DRA.HealthCheckUI.exe. Lorsque l'application s'ouvre, vous pouvez choisir d'effectuer une opération précise, d'exécuter des contrôles sur des composants précis ou d'exécuter des contrôles sur tous les composants. Reportez-vous aux fonctions utiles ci-dessous pour en savoir plus sur l'utilitaire de contrôle de l'intégrité :
29.0 Utilitaire CorbeilleCet utilitaire vous permet d'activer la prise en charge de la Corbeille lorsque vous gérez une sous-arborescence d'un domaine. Si le compte d'accès au domaine n'a pas d'autorisations sur le conteneur NetIQRecycleBin caché dans le domaine spécifié, DRA ne peut pas déplacer les comptes supprimés dans la Corbeille. NOTE:Après avoir utilisé cet utilitaire pour activer la Corbeille, effectuez une actualisation complète du cache des comptes pour vous assurer que le serveur d'administration applique cette modification. Vous pouvez utiliser cet utilitaire pour effectuer les tâches suivantes :
29.1 Autorisations requises pour l'utilitaire de la CorbeillePour utiliser cet utilitaire, vous devez disposer des autorisations suivantes :
29.2 Syntaxe de l'utilitaire de la CorbeilleDRARECYCLEBINUTIL /DOMAIN: DOMAINNAME [/DC: COMPUTERNAME ] {/DELEGATE: ACCOUNTNAME | /VERIFY: ACCOUNTNAME | /DISPLAY} 29.3 Options de l'utilitaire de la CorbeilleLes options suivantes vous permettent de configurer l'utilitaire de la Corbeille :
29.4 Exemples pour l'utilitaire de la CorbeilleLes exemples suivants illustrent des exemples de commandes pour des scénarios courants. 29.4.1 Exemple 1Pour vérifier que le compte d’utilisateur MYCOMPANY\JSmith dispose des autorisations de lecture sur le conteneur NetIQRecycleBin du domaine hou.mycompany.com, saisissez : DRARECYCLEBINUTIL /DOMAIN:HOU.MYCOMPANY.COM /VERIFY:MYCOMPANY\JSMITH 29.4.2 Exemple 2Pour déléguer des autorisations de lecture sur le conteneur NetIQRecycleBin dans le domaine MYCOMPANY du groupe MYCOMPANY\DraAdmins, entrez : DRARECYCLEBINUTIL /DOMAIN:MYCOMPANY /DELEGATE:MYCOMPANY\DRAADMINS 29.4.3 Exemple 3Pour afficher les paramètres de sécurité du conteneur NetIQRecycleBin dans le domaine hou.mycompany.com à l'aide du contrôleur de domaine HQDC, entrez : DRARECYCLEBINUTIL /DOMAIN:HOU.MYCOMPANY.COM /DC:HQDC /DISPLAY A.0 Avis juridique© Micro Focus ou l'une de ses filiales, 2007 à 2020. Les seules garanties offertes pour les produits et services par Micro Focus, ses filiales et ses concédants de licence (« Micro Focus ») sont énoncées dans les déclarations de garantie expresses accompagnant ces produits et services. Rien dans le présent document ne doit être interprété comme constituant une garantie supplémentaire. Micro Focus n'est pas responsable des erreurs techniques ou éditoriales, ni des omissions contenues dans ce document. Les renseignements contenus dans le présent document peuvent être modifiés sans préavis. |