Le FIM nécessite plusieurs comptes de service et groupes, chacun ayant ses propres exigences en matière de configuration. Cependant, je n'ai pas trouvé de document unique qui répertorie tous les comptes et l'accès dont ils ont besoin.
Il s'agit d'une compilation d'informations provenant de divers articles de Microsoft et portant sur les comptes de service FIM.
| Nom complet |
Nom de connexion de l'utilisateur |
|
Description |
| Service FIM | Service FIM | Requis par le FIM pour faire fonctionner le portail du FIM. Si vous utilisez PCNS, les SPN de ce compte doivent être ajoutés. Setspn.exe -S FIMService/fim1CORP\FIMServiceSetspn.exe -S FIMService/fim1.corp.contoso.com CORP\FIMServiceSi vousutilisez Kerberos, la délégation doit être activée.Si vous utilisez PCNS, des SPN doivent également être définis sur ce compte (voir la section PCNS ci-dessous). | |
| Service de synchronisation FIM | FIMSyncService | Requis par la FIM pour exécuter le service de synchronisation de la FIM | |
| FIM MA | FIMMA | Requis par le FIM pour l'approvisionnement et le déprovisionnement à partir du portail FIM | |
| Service SharePoint | SPService | Compte de service SharePointSetspn.exe -S HTTP/fim1 CORP\SPServiceSetspn.exe -S HTTP/fim1.corp.contoso.com CORP\SPServiceSi vousutilisez Kerberos, la délégation doit être activée. | |
| FIM ADMA | FIMADMA | Nécessaire à FIM pour gérer les objets dans Active Directory - Nécessité de répliquer les autorisations de modification de l'annuaire - Nécessité d'un contrôle total sur les OU gérés par FIM - Nécessité d'un rôle de gestion de l'organisation pour Exchange si des boîtes aux lettres sont approvisionnées.Une explication complète de la configuration du compte ADMA peut être trouvée ici : https://social.technet.microsoft.com/wiki/contents/articles/how-to-configure-the-adma-account.aspx | |
| Installateur FIM | FIMInstaller | Compte recommandé avec des droits d'administrateur sur les serveurs FIM pour installer software. Il doit s'agir d'un compte d'administrateur local sur les serveurs FIM et SCSM. Il doit également disposer des droits d'administrateur sur le serveur SQL pendant l'installation. Si vous utilisez SCSM, le compte doit également disposer de droits d'administrateur local sur le serveur SQL. Après l'installation sur le développement, les droits peuvent être réduits ou le compte peut être désactivé. (Remarque : lors des mises à jour, il peut être nécessaire d'accorder ce droit pendant l'installation de la mise à jour). |
Des instructions détaillées sur la configuration des comptes du service FIM sont disponibles ici : https://technet.microsoft.com/en-us/library/hh322882(v=ws.10)
Des informations détaillées sur les SPN utilisés par la FIM sont disponibles ici : https://technet.microsoft.com/en-us/library/jj134299(v=ws.10).aspx
Il convient de faire attention à cette étape :
Note : Lorsque l'installation installation est répartie sur deux serveurs, le compte de service pour FIMService (celui qui exécute le service) ne doit pas être configuré dans le domaine sécurisé (refuser l'ouverture de session en tant que travail par lots, refuser l'ouverture de session localement, refuser l'accès à cet ordinateur à partir du réseau) sur le serveur avec le service de synchronisation. Le compte FIM Service ne doit être configuré dans le domaine sécurisé que sur le serveur avec FIM Service et Portal.
Réinitialisation du mot de passe SPNS
Si vous utilisez le portail de réinitialisation du mot de passe, définissez les SPN comme suit :
Setspn.exe -S HTTP/Passwordreset.corp.contoso.com CORP\FIM2$
Setspn.exe -S HTTP/Passwordregistration.corp.contoso.com CORP\FIM2$
PCNS
Pour configurer le SPN à l'aide de Setspn.exe
- A l'invite de command-line, tapez les commandes indiquées par la syntaxe suivante :
Setspn.exe -a <user defined named for target FIM Sync server>/<fully qualified domain name of the server running FIM Sync>\<domain\user name of the FIM Sync service account>
Par exemple :
Setspn.exe -a PCNSCLNT/fab-dev-01.usergroup.fabrikam.com fab-dev-01\MIISServAccount
Le SPN doit être unique et ne peut apparaître sur aucun autre compte de service. Sinon, l'authentification Kerberos échoue et les demandes de changement de mot de passe ne sont pas envoyées au FIM. S'il y a plusieurs SPN, vous pouvez supprimer les SPN superflus comme suit :
Dans ADUC, rafraîchissez le domaine. Ensuite, en vous assurant que les "Fonctions avancées" sont activées sous "Affichage", naviguez vers "Système" puis "Service de notification de changement de mot de passe". La liste des cibles s'affichera et vous pourrez supprimer celle qui est incorrecte.
L'utilisation du commutateur -s avec Setspn.exe permet de s'assurer qu'aucun doublon n'est créé lors de la configuration des SPN. Ce commutateur ne définit le SPN qu'après avoir vérifié qu'il n'existe pas de doublons.
Pour vérifier le paramétrage du SPN pour MIIS 2003
- Connectez-vous à chaque contrôleur de domaine Active Directory où PCNS a été installé avec des privilèges administratifs.
- At a command prompt, type setspn –L <FIM Sync service account>, and then press ENTER.
- Verify that the following SPN is registered for the <FIM Sync service account>: PCNSCLNT\<FIM Sync server host name>
Le PCNS utilise des groupes AD d'inclusion et d'exclusion. Ceux-ci doivent être créés dans Active Directory (seul le groupe d'inclusion est obligatoire, le groupe d'exclusion est facultatif. Si un utilisateur fait partie du groupe d'exclusion, le changement de mot de passe ne sera pas transmis, même si l'utilisateur fait partie du groupe d'inclusion).
Pour configurer le PCNS, exécutez l'utilitaire de configuration qui se trouve dans le répertoire d'installation du PCNS.
pcnscfg ADDTARGET /N:FIMserver1 /A:FIMserver1.contoso.edu /S:PCNSCLNT/FIMserver1.contoso.edu/FI : "Domain Users" /FE : "Domain Admins" /F:1 /I:600 /D:False /WL:20 /WI:60
Groupes
- FIMSyncAdmins
- FIMSyncOperators
- FIMSyncJoiners
- FIMSyncBrowse
- FIMSyncPasswordSet
- Groupes d'inclusion et d'exclusion du PCNS
Outre les groupes PCNS, ces groupes sont nécessaires lors de l'installation du service FIM. Il peut s'agir de groupes AD ou de groupes locaux.
Les membres doivent être :
FIMSyncAdmins
- FIMSyncService
- Compte de l'installateur FIM
FIMInstaller doit avoir un accès en lecture à l'OU dans lequel se trouvent les groupes s'il s'agit de groupes Active Directory.
Pour plus d'informations sur la configuration des groupes et les autorisations, veuillez consulter cet article : https://technet.microsoft.com/en-us/library/jj590183(v=ws.10).aspx.
Comptes du SCSM
- La sortie de FIM R2 s'est accompagnée d'une nouvelle fonctionnalité de reporting qui s'appuie sur System Center Service Manager (SCSM). Si vous utilisez cette fonctionnalité, vous aurez besoin des comptes suivants :
Compte de l'installateur SCSM
Doit être un administrateur local sur les serveurs SCSM et SCSMDW.
Doit avoir des droits en SQL pour créer des bases de données et attribuer des rôles de sécurité. (Nous avons utilisé sysadmin).
Doit être membre du groupe des administrateurs locaux sur le serveur SQL.
Après l'installation, l'accès au compte peut être réduit ou le compte peut être désactivé et réactivé si des mises à jour doivent être installées.
Il est également possible d'utiliser le compte de l'installateur FIM plutôt que de créer un compte séparé pour l'installateur SCSM.
Groupe d'administrateurs SCSM
Groupe de sécurité dans AD
Le compte de l'installateur est automatiquement ajouté à ce groupe.
Le groupe est automatiquement ajouté au rôle d'administrateur de Service Manager.
Le groupe est automatiquement ajouté au rôle d'administrateur de l'entrepôt de données.
Gestionnaire de service Compte de service
Utilisateur du domaine
Administrateur local sur les serveurs SCSM et SCSMDW. (Utilisez le même compte pour les deux serveurs.)
Après l'installation, il devient le compte système opérationnel et est affecté au compte de connexion pour le service d'accès aux données de System Center et le service de configuration de gestion de System Center.
Dans SQL, il est ajouté aux rôles de base de données sdk_users et configsvc_users sur les bases de données SCSM et SCSMDW et devient membre du rôle db_datareader pour la base de données DWRepository.
Après l'installation, l'entrepôt de données est exécuté en tant que compte, attribué au compte Service Manager SDK et au compte Service Manager Config.
Compte de flux de travail
Utilisateur du domaine
Membre du groupe de sécurité Utilisateurs locaux.
Si des notifications par courrier électronique sont nécessaires, ce compte doit être activé pour le courrier électronique.
Compte rendu
Utilisateur du domaine
Utilisé par SSRS pour accéder aux données de DWDataMart.
En SQL, il est ajouté aux rôles db_datareader et reportuser de la base de données DWDataMart.
