Documentation produit
Self Service Password Reset
1.1.x 1.1
Voir PDF

Configuration sécurisée

April 20, 2026
Contributeur: 
C C

  • Cet article contient les procédures requises pour garantir que les composants de réinitialisation de mot de passe en libre-service sont déployés et configurés de manière sécurisée.

  • Créer un compte utilisateur de domaine pour réinitialiser le mot de passe utilisateur et déverrouiller l’autorisation de compte utilisateur

  • Configurer les paramètres du pare-feu

  • Créer un compte en libre-service

Si vous utilisez les fonctionnalités de réinitialisation de mot de passe ou de déverrouillage de compte de Self-Service Password Reset, spécifiez un compte en libre-service lors de la configuration du service, qui sera utilisé par le module en libre-service pour exécuter la réinitialisation de mot de passe et le déverrouillage de compte. Assurez-vous que le compte dispose de privilèges suffisants, mais nous ne recommandons pas d’utiliser un compte du groupe Administrateurs du domaine pour les déploiements en production. Les privilèges de compte recommandés sont :

  • Membre du domaine
  • Autorisation de réinitialisation de mot de passe et de déverrouillage de compte pour les utilisateurs de domaine concernés

Dans Utilisateurs et ordinateurs Active Directory, créez le groupe ou le compte utilisateur qui aura les droits de réinitialiser le mot de passe utilisateur et de déverrouiller les comptes utilisateur.

  1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le domaine, puis cliquez sur Déléguer le contrôle dans le menu.
  2. L’assistant Délégation de contrôle s’affiche. Dans la boîte de dialogue Bienvenue, cliquez sur Suivant.
  3. Dans la boîte de dialogue Utilisateurs et groupes, cliquez sur Ajouter. Sélectionnez le groupe dans la liste auquel vous souhaitez accorder le droit de déverrouiller les comptes, puis cliquez sur OK. Dans la boîte de dialogue Utilisateurs et groupes, cliquez sur Suivant.
  4. Dans la boîte de dialogue Tâches à déléguer, cliquez sur Créer une tâche personnalisée à déléguer, puis cliquez sur Suivant.
  5. Dans la boîte de dialogue Type d’objet Active Directory, cliquez sur Uniquement les objets suivants dans le dossier > Objets utilisateur, puis cliquez sur Suivant.
  6. Dans la boîte de dialogue Autorisations, cochez les cases Général et Spécifique aux propriétés. Dans la liste Autorisations, cochez les cases Lire lockoutTime, Écrire lockoutTime, Réinitialiser le mot de passe, Modifier le mot de passe, Lire userAccountControl, Écrire userAccountControl, Lire pwdLastSet et Écrire pwdLastSet, puis cliquez sur Suivant.
    1. Dans la boîte de dialogue de l’assistant Fin de la délégation de contrôle, cliquez sur Terminer.

Configurer les paramètres du pare-feu

Étant donné que le serveur Self-Service Password Reset et les composants du serveur de stockage central gèrent les mots de passe utilisateur, nous vous recommandons fortement de déployer ces composants sur un réseau de confiance et qu’ils ne soient accessibles que par des composants de confiance spécifiques. Cette section décrit les étapes pour vous assurer que vous configurez correctement le pare-feu Windows pour ces serveurs. Nous vous recommandons également de configurer l’infrastructure réseau existante pour garantir que ces serveurs sont isolés du trafic réseau non fiable.

Une fois ces configurations terminées dans le déploiement, les serveurs de stockage central Self-Service Password Reset ne peuvent être accédés que depuis les serveurs Self-Service Password Reset à l’aide du protocole Server Message Block (SMB). Et les serveurs Self-Service Password Reset ne sont accédés que depuis les serveurs StoreFront™ avec des connexions HTTPS.

Déploiement de partage de fichiers distant pour Windows 2012 R2

Image localisée

Environnement

  • Déployez les composants Self-Service Password Reset sur des serveurs dédiés. Ne les déployez pas sur les mêmes serveurs que les composants StoreFront ou Delivery Controller™ existants. Sinon, la configuration du pare-feu présentée ci-dessous pourrait bloquer le trafic StoreFront ou du contrôleur.
  • Il n’y a pas de proxy HTTP/HTTPS non transparent entre StoreFront et le serveur Self-Service Password Reset.

Si un proxy non transparent existe entre StoreFront et le serveur Self-Service Password Reset, configurez le serveur Self-Service Password Reset pour qu’il ne soit accessible que depuis le serveur proxy dans les règles du pare-feu.

  • Les configurations de ces procédures sont basées sur les règles de pare-feu Windows par défaut.

Configurer le pare-feu pour le stockage central Self-Service Password Reset

Une fois la configuration terminée, le service SMB fourni par le stockage central Self-Service Password Reset ne peut être accédé que depuis les serveurs Self-Service Password Reset en entrée. Et le serveur de stockage central Self-Service Password Reset ne peut accéder aux services situés sur le réseau d’entreprise qu’en sortie.

  1. Ouvrez le Gestionnaire de serveur, et dans le menu Outils de la barre de navigation supérieure, sélectionnez Pare-feu Windows avec fonctions avancées de sécurité.

  2. Dans Pare-feu Windows avec fonctions avancées de sécurité, sélectionnez Propriétés du Pare-feu Windows dans le volet central. Il existe trois profils de pare-feu : Domaine, Privé et Public. Sélectionnez l’onglet Profil de domaine. Assurez-vous que l’État du pare-feu est défini sur Activé, que les Connexions entrantes sont définies sur Bloquer et que les Connexions sortantes sont définies sur Autoriser.

Image localisée

  1. Sélectionnez les onglets Profil privé et Profil public. Assurez-vous que l’État du pare-feu est défini sur Activé, et que les Connexions entrantes et les Connexions sortantes sont toutes deux définies sur Bloquer. Appliquez et enregistrez les modifications.

  2. Dans les Règles de trafic entrant, choisissez Partage de fichiers et d’imprimantes (SMB-In) et assurez-vous que cette règle est Activée et que l’Action est définie sur Autoriser la connexion.

Image localisée

  1. Dans les Propriétés de Partage de fichiers et d’imprimantes (SMB-In), passez à l’onglet Étendue. Choisissez Ces adresses IP et ajoutez toutes les adresses IP des serveurs Self-Service Password Reset à la liste. Par exemple, serveur Self-Service Password Reset A (192.168.1.10) et serveur Self-Service Password Reset B (192.168.1.11).

  2. Dans les Propriétés de Partage de fichiers et d’imprimantes (SMB-In), passez à l’onglet Avancé, sélectionnez les profils Domaine, Privé et Public, et enregistrez les modifications de cette règle.

  3. Répétez cette procédure sur les règles Entrantes pour Gestion à distance du serveur de fichiers (SMB-In) et Partage de fichiers et d’imprimantes (NB-Session-In).

Configurer le pare-feu pour le serveur Self-Service Password Reset

Une fois la configuration terminée, le service web fourni par les serveurs Self-Service Password Reset ne peut être accédé que par les serveurs StoreFront à l’aide de HTTPS. Et les serveurs Self-Service Password Reset peuvent accéder aux services situés sur le réseau d’entreprise.

  1. Ouvrez le Gestionnaire de serveur, et dans le menu Outils de la barre de navigation supérieure, sélectionnez Pare-feu Windows avec fonctions avancées de sécurité.

  2. Dans Pare-feu Windows avec fonctions avancées de sécurité, sélectionnez Propriétés du Pare-feu Windows dans le volet central. Il existe trois profils de pare-feu : Domaine, Privé et Public. Sélectionnez l’onglet Profil de domaine. Assurez-vous que l’État du pare-feu est défini sur Activé, que les Connexions entrantes sont définies sur Bloquer et que les Connexions sortantes sont définies sur Autoriser.

Image localisée

  1. Sélectionnez les onglets Profil privé et Profil public et assurez-vous que l’État du pare-feu est défini sur Activé. Et que les Connexions entrantes et les Connexions sortantes sont toutes deux définies sur Bloquer. Appliquez et enregistrez les modifications.

  2. Dans les Règles de trafic entrant, choisissez Services World Wide Web (Trafic HTTP entrant). Et assurez-vous que cette règle est Activée et que l’Action est définie sur Bloquer la connexion.

  3. Dans les Propriétés de Services World Wide Web (Trafic HTTP entrant), passez à l’onglet Avancé. Sélectionnez les profils Domaine, Privé et Public, et enregistrez les modifications de cette règle.

  4. Dans les Règles de trafic entrant, choisissez Services World Wide Web (Trafic HTTPS entrant). Assurez-vous que cette règle est Activée et que l’Action est définie sur Autoriser la connexion.

Image localisée

  1. Dans les Propriétés des services World Wide Web (Trafic HTTPS entrant), accédez à l’onglet Étendue. Choisissez Ces adresses IP, et ajoutez toutes les adresses IP des serveurs StoreFront à la liste. Par exemple, StoreFront A (192.168.1.50) et StoreFront B (192.158.1.51).

  2. Dans les Propriétés des services World Wide Web (Trafic HTTPS entrant), accédez à l’onglet Avancé. Sélectionnez les profils Domaine, Privé et Public, et enregistrez les modifications de cette règle.

Configuration sécurisée
April 20, 2026
Contributeur: 
C C
April 20, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.