Création des groupes de sécurité nécessaire au déploiement de Forefront Identity Manager 2010 R2

   [La version SP1 est disponible depuis début 2013]

 

Bonjour à tous, 

voici un petit post qui explique clairement la création des groupes de sécurité nécessaire au déploiement de FIM 2010 / FIM 2010 R2 et FIM 2010 R2 SP1.

 

Préambule

Lors de la planification d'une implémentation d'un serveur FIM, un ensemble de prérequis doit être mis en place. Parmi eux, il est nécessaire de créer cinq groupes de sécurité.

Cet article défini clairement les autorisations accordées par FIM en fonction de l'appartenance aux groupes.

 

Les groupes de sécurité FIM

 

FIMSyncAdmins :

Les membres de ce groupe ont accès à toute la partie moteur/service de synchronisation.

 

FIMSyncOperators :

Les membres de ce groupe ont accès à des opérations sur le moteur/service de synchronisation.

Ces membres peuvent exécuter les run profile des MA, afficher les statistiques de synchronisation pour chaque opération, et enregistrer les historiques d'exécution dans un fichier.

Les membres du groupe FIMSyncOperators doivent également être membres du groupe FIMSyncBrowse pour ouvrir les liens dans les statistiques de synchronisation.

 

FIMSyncJoiners :

Les membres de ce groupe ont accès à la partie Joiner et Metaverse Search dans le Gestionnaire de service de synchronisation. Ces membres peuvent rejoindre ou projeter en utilisant la partie Joiner. Ils peuvent également utiliser la recherche du Metaverse pour afficher les propriétés des objets.

FIM crée également deux groupes de sécurité lors de l'installation qui n'ont pas accès au Gestionnaire de service de synchronisation, mais sont utilisés pour l'authentification lors des opérations de gestion de mot de passe: FIMSyncBrowse et FIMSyncPasswordSet.

 

FIMSyncBrowse :

Les membres de ce groupe ont la permission de recueillir les informations d'un utilisateur lors de la réinitialisation des mots de passe à l'aide des requêtes Windows Management Instrumentation (WMI) .

 

FIMSyncPasswordSet :

Les membres de ce groupe ont l'autorisation d'effectuer toutes les opérations à l'aide des interfaces de gestion de mots de passe avec WMI. Les membres de ce groupe héritent de toutes les autorisations FIMSyncBrowse.

 

Bonne lecture.

Joris


Please publish modules in offcanvas position.