Pour utiliser les informations d’identification itinérantes, tous les contrôleurs de domaine de votre organisation doivent exécuter Windows Server 2008 R2, Windows Server 2008 ou Windows Server 2003 Service Pack 1 (SP1). De plus, les clients utilisés pour les informations d’identification itinérantes doivent exécuter Windows 7, Windows Vista, Windows XP Service Pack 2 (SP2), Windows Server 2003 SP1 ou Windows Server 2008.

Si au moins un contrôleur de domaine de votre environnement Active Directory exécute Windows Server 2008 R2 ou Windows Server 2008, vous pouvez utiliser la stratégie de groupe pour configurer les informations d’identification itinérantes.

Si vous ne disposez pas de contrôleur de domaine exécutant Windows Server 2008 R2 ou Windows Server 2008, vous devez effectuer les étapes suivantes avant d’utiliser la stratégie de groupe pour configurer les informations d’indentification itinérantes :

  1. Préparer les services de domaine Active Directory (AD DS). Les services AD DS doivent être préparés afin de stocker les certificats, les clés et les clés principales DPAPI (Data Protection Application Programming Interface) des utilisateurs.

  2. Exclure les répertoires des profils itinérants. Si les profils itinérants sont utilisés, certains répertoires doivent en être exclus afin d’éviter les conflits avec les informations d’identification itinérantes.

  3. Installer le modèle de stratégie de groupe ADM Les informations d’identification itinérantes seront activées via un modèle de stratégie de groupe ADM qui définit les valeurs de Registre appropriées sur un ordinateur client.

Pour obtenir de l’aide sur ces étapes préparatoires sur des réseaux comprenant des contrôleurs de domaines exécutant encore Windows Server 2003, voir Configurer et résoudre des problèmes de client des services de certificats - Informations d’identification itinérantes (https://go.microsoft.com/fwlink/?LinkID=85332) (éventuellement en anglais).

Pour effectuer cette procédure, vous devez appartenir au minimum au groupe Administrateurs de l’entreprise ou Admins du domaine ou à un compte équivalent. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.

Pour configurer les informations d’identification itinérantes pour un domaine à l’aide de la stratégie de groupe

  1. Sur un contrôleur de domaine exécutant Windows Server 2008 R2 ou Windows Server 2008, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestion des stratégies de groupe.

  2. Dans l’arborescence de la console, double-cliquez sur Objets de stratégie de groupe dans la forêt et le domaine qui contiennent l’objet de stratégie de groupe Stratégie de domaine par défaut que vous souhaitez modifier.

  3. Cliquez avec le bouton droit sur l’objet Stratégie de domaine par défaut, puis cliquez sur Modifier.

  4. Dans la Console de gestion des stratégies de groupe, accédez à Configuration utilisateur, Paramètres Windows, Paramètres de sécurité, puis cliquez sur Stratégies de clés publiques.

  5. Double-cliquez sur Client des services de certificats - Informations d’identification itinérantes.

  6. Cliquez sur Activé pour configurer les informations d’identification itinérantes ou Désactivé pour empêcher leur utilisation.

  7. Si vous avez cliqué sur Activé, vous pouvez aussi personnaliser les options suivantes :

    • Durée de vie maximale des informations d’identification (en jours). Vous permet de définir combien de temps les informations d’identification itinérantes demeureront dans les services AD DS pour un certificat ou une clé qui a été localement supprimé(e).

    • Nombre maximal d’informations d’identification itinérante par utilisateur. Vous permet de définir un nombre maximal de certificats et de clés pouvant être utilisés avec les informations d’identification itinérantes.

    • Taille maximale (en octets) d’une information d’identification itinérante. Vous permet de restreindre les informations d’identification itinérantes pour qu’elles n’excèdent pas une certaine taille.

    • Utiliser des noms et mots de passe utilisateur enregistrés itinérants. Vous permet d’inclure ou d’exclure de la stratégie d’informations d’identification itinérantes les noms et mots de passe utilisateur enregistrés.

  8. Cliquez sur OK pour accepter les modifications.

Les options par défaut des informations d’identification itinérantes de l’étape 7 seront acceptables pour la plupart des organisations. Cependant, si l’organisation comprend un grand nombre d’utilisateurs et d’informations d’identification, les informations d’identification itinérantes peuvent affecter la taille de la base de données Active Directory. Pour vous aider à estimer l’impact potentiel des informations d’identification itinérantes sur votre base de données Active Directory, voir Configurer et résoudre des problèmes de client des services de certificats - Informations d’identification itinérantes (https://go.microsoft.com/fwlink/?LinkID=85332) (éventuellement en anglais).

Références supplémentaires

Table des matières