Сервисные операции для ресурсов Windows

Сервисные операции для ресурсов Windows выполняются от имени доменной или локальной учётной записи: 

• Проверка соединения с ресурсом
• Синхронизация локальных учётных записей
• Проверка пароля локальных учётных записей
• Изменение пароля локальных учётных записей
• Получение данных о ОС
• Получение списка групп безопасности

Настройка доменной учётной записи в качестве сервисной

1. Выполните вход на ресурс.
2. Запустите оснастку Управление компьютером (Computer management)
3. Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
4. Откройте контекстное меню группы Администраторы (Administrators)
5. Выберите пункт Свойства (Properties)
6. Нажмите Добавить (Add)
7. Выберите доменную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок

Настройка локальной учётной записи в качестве сервисной

Если в качестве сервисной учётной записи будет использоваться локальный встроенный (built-in) администратор, то дополнительная настройка не требуется. Если в качестве сервисной учётной записи будет использоваться не встроенная локальная учётная запись администратора, то необходимо:

1. Выполните вход на ресурс.
2. Запустите оснастку Управление компьютером (Computer management)
3. Перейдите в раздел Служебные программы (System tools) - Локальные пользователи (Local Users and Groups) - Группы (Groups)
4. Откройте контекстное меню группы Администраторы (Administrators)
5. Выберите пункт Свойства (Properties)
6. Нажмите Добавить (Add)
7. Выберите локальную учётную запись, которая будет использоваться в роли сервисной для ресурса и нажмите Ок
8. Запустите Редактор реестра (RegEdit)
9. Раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
10. Откройте контекстное меню раздела System
11. Выберите пункт Создать (Create) - Параметр DWORD 32 (DWORD (32-bit) Value)
12. Введите название параметра - LocalAccountTokenFilterPolicy
13. Откройте контекстное меню параметра LocalAccountTokenFilterPolicy
14. Выберите пункт Изменить (Modify) и установите Значение: (Value data:) равное 1

Настройка реестра необходима из-за ограничений удалённого управления WinRM для всех локальных учётных записей, кроме встроенного (built-in) администратора.

Настройка Indeed PAM Core для выполнения сервисных операций от имени локальных учётных записей ресурса

Сервисные операции выполняется при помощи WinRM, для использования локальных учётных записей ресурса в качестве сервисных необходимо добавить ресурс в список доверенных TrustedHosts на сервере Indeed PAM Core.

Настройка TrustedHosts

1. Выполните вход на сервер Indeed PAM Core
   
2. Откройте Командную строку (CMD) от имени администратора
3. Выполните команду
   

C:\>winrm s winrm/config/client @{TrustedHosts="Resource1.domain.local, Resource2.domain.local"}

Указанные ресурсы будут добавлены в список доверенных.

@{TrustedHosts="Resource1.domain.local, Resource2.domain.local, Resource3.domain.local"}

Сервисные операции для ресурсов *nix

Сервисные операции для ресурсов *nix выполняются от имени локальной сервисной учётной записи: 

• Проверка соединения с ресурсом
• Поиск учётных локальных записей доступа
• Проверка пароля локальных учётных записей доступа
• Изменение пароля локальных учётных записей доступа
• Получение данных о ОС
• Получение списка групп безопасности

Создание и настройка сервисной учётной записи

1. Выполните вход на ресурс
2. Запустите Терминал (Terminal)

3. Создайте пользователя, например, IPAMService
   

   adduser IPAMService

4. Добавьте пользователя в группу SUDO

   usermod -aG sudo IPAMService

Настройка группы привилегированных учётных записей

Автоматический поиск и добавление учётных записей доступа в Indeed PAM выполняется на основании их права на выполнение команды SUDO. Для предоставления прав на выполнение команды SUDO необходимо внести изменения в файл /etc/sudoers