Accorder à l'Active Directory (AD) Agent Okta des autorisations de gestion des mots de passe

Version en accès anticipé

Vous devez accorder des autorisations de réinitialisation des mots de passe aux comptes de service de l'Active Directory (AD) Agent Okta pour les unités organisationnelles (OU) qui contiennent des comptes disposant de privilèges.

Accordez à l'AD Agent Okta des autorisations de réinitialisation des mots de passe.

Pour effectuer cette configuration, le compte que vous utilisez doit disposer des autorisations nécessaires pour modifier les listes de contrôle d'accès (ACL) des unités organisationnelles (OU) contenant les comptes disposant de privilèges. Par exemple, le compte doit être membre du groupe Administrateurs de domaine Active Directory.

  1. Lancez le composant logiciel enfichable Active Directory Users & Computers MMC.

  2. Accédez à l'OU qui contient les comptes disposant de privilèges qui seront gérés par Okta Privileged Access.

  3. Effectuez un clic droit sur cette OU, puis sélectionnez TOUTES LES TÂCHES | DÉLÉGUER LE CONTRÔLE.

  4. Cliquez sur SUIVANT, puis sur AJOUTER.

  5. Saisissez le nom du compte de service de l'AD Agent Okta, puis cliquez sur OK.

  6. Assurez-vous que le nom du compte de service AD Agent Okta est répertorié dans la zone, puis cliquez sur SUIVANT.

  7. Cochez la case en regard de Réinitialiser les mots de passe utilisateur et forcer le changement de mot de passe à la prochaine connexion, puis cliquez sur SUIVANT.

  8. Cliquez sur TERMINER.

Accorder à l'AD Agent Okta les autorisations pour réinitialiser les mots de passe des comptes protégés

Si Okta Privileged Access gère les mots de passe de tous les comptes qui sont des comptes protégés ou des membres de groupes de comptes protégés tels que Administrateurs de domaine, vous devez également effectuer d'autres tâches pour vous assurer que l'AD Agent Okta dispose des autorisations nécessaires pour réinitialiser les mots de passe pour les comptes protégés.

Les ACL des comptes protégés sont mises à jour toutes les heures en utilisant les valeurs ACL du conteneur AdminSDHolder comme modèle. AdminSPHolder est un conteneur d'objets spécial situé dans le conteneur système du domaine Active Directory.

Pour modifier l'ACL pour cet objet, exécutez la commande suivante tout en modifiant ses valeurs de façon à ce qu'elles correspondent à votre domaine et au nom de votre compte de service AD Agent Okta.

Vous devez exécuter ces commandes en utilisant un compte qui dispose des autorisations nécessaires pour modifier le conteneur AdminSSHolder, par exemple un membre du groupe Administrateurs de domaine. Pour ce faire, vous pouvez vous connecter à un système avec un compte Administrateur de domaine et lancer une invite de commande (CMD) ou utiliser RunAs pour lancer CMD avec un compte utilisateur Administrateur de domaine.

Configurer l'autorisation de réinitialisation de mot de passe

Exécutez la commande suivante pour accorder une autorisation de réinitialisation de mot de passe au compte de service de l'AD Agent Okta.

  • Commande : dsacls "[AdminSDHolder]" /G "[account]:CA;Reset Password"

  • Exemple : dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=atko,DC=biz" /G "OktaService@corp.atko.biz:CA;Reset Password"

Après avoir exécuté la commande, vous pouvez confirmer que les autorisations ont été appliquées en exécutant la commande sans les commutateurs et arguments supplémentaires.

Vérifier l'autorisation de réinitialisation de mot de passe

Si la gestion des mots de passe des comptes protégés est une condition nécessaire pour votre implémentation Okta Privileged Access, assurez-vous de suivre toutes les étapes qui suivent et vérifiez que les autorisations ont été correctement appliquées aux comptes protégés avant de poursuivre.

  • Commande : dsacls "[AdminSDHolder]"

  • Exemple : dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=atko,DC=biz"

  • Exemple de sortie : Allow CORP\OktaService Reset Password

Au niveau de la sortie, vous devriez voir que le compte de service de l'AD Agent Okta dispose maintenant de l'autorisation de réinitialisation de mot de passe pour le conteneur AdminSPHolder. Une fois l'objet AdminSDHolder mis à jour, ces autorisations s'appliqueront automatiquement aux comptes protégés dans l'heure qui suit (ou moins) en raison des propriétés synchronisées (SDProp). Pour les appliquer immédiatement, consultez la documentation Active Directory pour obtenir des instructions sur l'exécution manuelle de SDProp.

Rubriques liées

Configurer les domaines Active Directory

Gérer les comptes Active Directory

Règles de compte Active Directory

Comptes Active Directory