Trustelem AD Connect

Sur votre serveur Windows, dans « Active Directory Users and Groups »

  • Créer un utilisateur technique (par ex. trustelem@masociete.fr) avec les droits par défaut (si le service de ré-initialisation de mot de passe n’est pas requis) et un mot de passe fort, sans modification requise à la prochaine connexion et sans expiration.

Dans la console d’administration de Trustelem, onglet « Annuaires »

  • Cliquer sur « Créer » puis sélectionnez « Active Directory »
  • Donner un nom à l’annuaire, optionnellement une description
  • Vérifier que la case « Utilisation d’un connecteur » est bien cochée
  • Télécharger le programme d’installation du connecteur (la dernière version est la v1.50)
  • Copier l’identifiant de synchronisation et cliquer sur « Enregistrer »

Sur chacun des contrôleurs de domaine (typiquement 2 ou 3)

  • Exécuter le programme d’installation du connecteur (renseigner l’identifiant de synchronisation)
  • Configurer le service Trustelem
    • Ouvrir le gestionnaire de Services Windows
    • Sélectionner Trustelem AD Connect
    • Faire un clic droit, sélectionner Properties
    • Sur l’onglet « General », s’assurer que le « Startup type » est « Automatique »
    • Sur l’onglet « Log On », sélectionner « This account » et renseigner l’identifiant et le mot de passe de l’utilisateur technique

Lancer le service

Revenir dans la console d’administration de Trustelem, onglet « Annuaires »

  • Sélectionner le nouvel annuaire
  • Le connecteur doit apparaître dans le tableau (utiliser le bouton rafraîchir si nécessaire)
  • Une fois le connecteur apparu, vérifier l’IP, le nom du serveur et le compte de service puis activer le connecteur en cliquant sur le bouton orange
  • Régler la fréquence de synchronisation souhaitée (note : une fréquence élevée augmente la charge des contrôleurs de domaine)
  • Sélectionner des groupes d’annuaire à synchroniser
  • Cliquer sur « Enregistrer »

La synchronisation commence, elle dure quelques secondes.

Le connecteur Trustelem peut être mis à jour sans interruption de service :

  • Installer la nouvelle version du connecteur v1.50 en parallèle avec la version actuellement installée
  • Dans l’onglet annuaire de la console d’administration Trustelem, sélectionner l’annuaire concerné et faire remonter le nouveau connecteur en première position afin que celui-ci soit utilisé en priorité
  • Vérifier le bon fonctionnement du nouveau connecteur en examinant ses statistiques d’usage, puis désactiver l’ancien connecteur dans la console d’administration
  • Enfin, désinstaller l’ancien connecteur de votre serveur et vous pourrez alors le supprimer de la console d’administration

Sur certaines configurations avec droits restreints, il est possible que le compte de service attribué au connecteur Trustelem ne dispose pas des droits nécessaires pour lister tous les utilisateurs/groupes de l’annuaire.

Pour s’assurer que l’utilisateur possède bien les droits en lecture adéquats :

  • Sur Windows Server 2008 et moins
    • Ouvrir “Active Directory Users and Groups”
    • Faire clic-droit sur le domaine
    • Aller dans “Propriétés”

      read

    • Se rendre sur l’onglet “Sécurité” puis cliquer sur “Avancé”
    • Cliquer sur “Ajouter”
    • Entrer le nom de l’utilisateur avec lequel le connecteur est lancé
    • Cliquer sur l’onglet “Propriétés”
    • Dans “S’applique à” choisir “Utilisateur”
    • Cocher si elle ne l’est pas la case “Lire MemberOf”

      read

  • Sur Windows Server 2012 et ultérieurs
    • Ouvrir ADSI Edit
    • Faire clic-droit sur le domaine
    • Aller dans “Propriétés”

      read

    • Se rendre sur l’onglet “Sécurité” puis cliquer sur “Avancé”
    • Cliquer sur “Ajouter”
    • Cliquer sur “Sélectionner un principal” et récupérer l’utilisateur avec lequel le connecteur est lancé

      read

    • Dans “S’applique à” choisir “Cet object uniquement”
    • Descendre jusqu’à “Propriétés” et cocher si elle ne l’est pas la case “Lire MemberOf”

Le service SSPR a besoin que le compte de service du connecteur Trustelem ait reçu la délégation de privilège pour ré-initialiser les mots de passe des utilisateurs.

  • Ouvrez le panneau ‘Active Directory Users and Groups’ et faites un clic droit sur le domaine visé. Choisissez l’option ‘Delegate Control…’

    sspr

  • Dans l’assistant de délégation, cliquez sur ‘Next’ puis sur ‘Add…’. Cliquez sur ‘Next’

    sspr

  • Choisissez le compte de service exécutant Trustelem AD Connect. Cliquez sur ‘Next’

    sspr

  • Sélectionnez la permission suivante à déléguer: ‘Reset user password and force password change at next logon’. Cliquez sur ‘Next’

    sspr

  • Vérifiez le résumé et cliquez sur ‘Finish’

    sspr

  • C’est terminé !