Guide de l'administrateur de NetIQ Directory and Resource Administrator

3.3.1 Serveurs d'administration DRA

3.3.2 Serveur REST DRA

3.3.3 Console Web (IIS)

3.3.4 Console de délégation et d'administration DRA

3.3.5 Serveur de workflow

3.5.1 Configuration logicielle requise

3.5.2 Domaine du serveur

3.5.3 Configuration requise pour les comptes

3.5.4 Comptes d'accès DRA à privilège minimal

Vous trouverez ci-dessous les autorisations et privilèges requis pour les comptes spécifiés et les commandes de configuration à exécuter.

Attribuez au compte d'accès au domaine les autorisations Active Directory suivantes au niveau de domaine supérieur pour cet objet et tous les objets descendants :

Application Azure : l'application Azure requiert les rôles et autorisations suivants :

Compte d'accès au locataire Azure : le compte d'accès au locataire Azure requiert les autorisations suivantes :

Network access: Restrict clients allowed to make remote calls to SAM (Accès réseau : restreindre les clients autorisés à effectuer des appels distants vers SAM)

Pour accéder à ce paramètre, procédez comme suit :

Pour plus d'informations, reportez-vous à l'article 7023292 de la base de connaissances.

3.6.1 Configuration logicielle requise

4.1.1 Liste de contrôle pour une installation interactive :

5.2.1 Allocation d'un serveur d'administration local pour l'exécution d'une version antérieure de DRA

L'allocation d'un ou plusieurs serveurs d'administration secondaires pour exécuter localement une version antérieure de DRA sur un site pendant la mise à niveau peut aider à réduire le temps hors service et les connexions coûteuses vers des sites distants. Cette étape est facultative et permet aux assistants administrateur d'utiliser une version antérieure de DRA tout au long de la procédure de mise à niveau, jusqu'à ce que vous soyez certain que votre déploiement est terminé.

Envisagez cette option si vous êtes concerné par une ou plusieurs des exigences de mise à niveau suivantes :

Vous pouvez installer un nouveau serveur d'administration secondaire ou désigner un serveur secondaire existant exécutant une version antérieure de DRA. Si vous avez l'intention de mettre à niveau ce serveur, il doit être le dernier serveur que vous mettez à niveau. Dans le cas contraire, désinstallez complètement DRA de ce serveur lorsque vous avez terminé votre mise à niveau.

5.2.2 Synchronisation de votre ensemble de serveurs utilisant une version antérieure de DRA

Avant de sauvegarder le registre de la version antérieure de DRA ou d'entamer la procédure de mise à niveau, assurez-vous de synchroniser les ensembles de serveurs afin que chaque serveur d'administration contienne les derniers paramètres de configuration et de sécurité.

5.2.3 Sauvegarde du registre du serveur d'administration

La sauvegarde du registre du serveur d'administration garantit que vous pouvez revenir à vos configurations précédentes. Par exemple, si vous devez désinstaller complètement la version actuelle de DRA et utiliser la version précédente, le fait de disposer d'une sauvegarde de vos paramètres de registre précédents vous permet de récupérer facilement vos paramètres de configuration et de sécurité.

Cependant, soyez prudent lorsque vous modifiez votre registre. En cas d'erreur dans votre registre, le serveur d'administration peut ne pas fonctionner comme prévu. Si une erreur se produit pendant la procédure de mise à niveau, vous pouvez utiliser la sauvegarde de vos paramètres de registre pour le restaurer. Pour plus d'informations, reportez-vous à l'aide de l'Éditeur du Registre.

5.3.1 Mise à niveau du serveur d'administration primaire

Après avoir préparé votre MMS, mettez à niveau le serveur d'administration primaire. Ne mettez pas à niveau les interfaces utilisateur sur les ordinateurs client tant que vous n'avez pas terminé la mise à niveau du serveur d'administration primaire. Pour plus d'informations, reportez-vous à la section Déploiement des interfaces utilisateur DRA.

Avant de procéder à la mise à niveau, informez vos assistants administrateur des date et heure auxquelles vous prévoyez de démarrer cette procédure. Si vous avez alloué un serveur d'administration secondaire pour l'exécution d'une version antérieure de DRA, spécifiez également ce serveur afin que les assistants administrateur puissent continuer à utiliser la version antérieure de DRA pendant la mise à niveau.

5.3.2 Installation d'un serveur d'administration secondaire local pour la version actuelle de DRA

L'installation d'un nouveau serveur d'administration secondaire pour exécuter la version actuelle de DRA sur un site local peut vous aider à réduire les connexions coûteuses aux sites distants tout en réduisant les temps hors service globaux et en permettant un déploiement plus rapide des interfaces utilisateur. Cette étape est facultative et permet aux assistants administrateur d'utiliser à la fois la version actuelle de DRA et une version antérieure de DRA tout au long de la procédure de mise à niveau, jusqu'à ce que vous soyez certain que votre déploiement est terminé.

Envisagez cette option si vous êtes concerné par une ou plusieurs des exigences de mise à niveau suivantes :

Par exemple, si votre MMS se compose d'un serveur d'administration primaire sur votre site de Paris et d'un serveur d'administration secondaire sur votre site de Tokyo, envisagez d'installer un serveur secondaire sur le site de Tokyo et de l'ajouter au MMS correspondant. Ce serveur supplémentaire équilibre mieux la charge d'administration quotidienne sur le site de Tokyo et permet aux assistants administrateur de l'un ou l'autre site d'utiliser une version antérieure de DRA ainsi que la version actuelle de DRA jusqu'à la fin de la mise à niveau. En outre, vos assistants administrateur ne subissent aucun temps hors service puisque vous pouvez déployer immédiatement les interfaces utilisateur DRA actuelles. Pour plus d'informations sur la mise à niveau des interfaces utilisateur, reportez-vous à la section Déploiement des interfaces utilisateur DRA.

5.3.3 Déploiement des interfaces utilisateur DRA

En général, vous devez déployer les interfaces utilisateur DRA actuelles après la mise à niveau du serveur d'administration primaire et d'un serveur d'administration secondaire. Toutefois, pour les assistants administrateur qui doivent utiliser le serveur d'administration primaire, assurez-vous d'abord de mettre à niveau leurs ordinateurs client en installant la console de délégation et de configuration. Pour plus d'informations, reportez-vous à la section Planification d'une mise à niveau DRA.

Si vous effectuez souvent un traitement par lots via l'interface de ligne de commande (CLI), le fournisseur ADSI ou PowerShell, ou si vous générez fréquemment des rapports, envisagez d'installer ces interfaces utilisateur sur un serveur d'administration secondaire dédié pour conserver un équilibre de charge approprié sur le MMS.

Vous pouvez autoriser vos assistants administrateur à installer les interfaces utilisateur DRA ou déployer ces interfaces au moyen d'une stratégie de groupe. Vous pouvez également déployer facilement et rapidement la console Web pour plusieurs assistants administrateur.

5.3.4 Mise à niveau des serveurs d'administration secondaires

Lors de la mise à niveau des serveurs d'administration secondaires, vous pouvez mettre à niveau chaque serveur en fonction de vos besoins d'administration. Étudiez également la planification de la mise à niveau et le déploiement de l'interface utilisateur DRA. Pour plus d'informations, reportez-vous à la section Déploiement des interfaces utilisateur DRA.

Par exemple, un plan de mise à niveau standard peut comprendre les étapes suivantes :

Avant de procéder à la mise à niveau, informez vos assistants administrateur des date et heure auxquelles vous prévoyez de démarrer cette procédure. Si vous avez alloué un serveur d'administration secondaire pour l'exécution d'une version antérieure de DRA, spécifiez également ce serveur afin que les assistants administrateur puissent continuer à utiliser la version antérieure de DRA pendant la mise à niveau. Lorsque vous avez terminé la procédure de mise à niveau pour ce MMS et que tous les ordinateurs client des assistants administrateur exécutent des interfaces utilisateur mises à niveau, mettez hors ligne tous les serveurs restants qui utilisent une version antérieure de DRA.

5.3.5 Mise à jour de la configuration de la console Web - Après l'installation

Après l'installation de la mise à niveau, effectuez l'une des opérations ci-dessous (ou les deux) si elles s'appliquent à votre environnement DRA :

<restService useDefault="Never">
<serviceLocation address="<REST server name>" port="8755"/>
</restService>

6.3.1 Exemple 1 : modification du mot de passe d'un utilisateur

Lorsqu'un assistant administrateur tente de définir un nouveau mot de passe pour le compte utilisateur JSmith, le serveur d'administration recherche toutes les instances ActiveView comprenant JSmith. Il recherche toutes les instances ActiveView qui indiquent JSmith directement, par le biais d'une règle de caractère joker ou via l'adhésion à un groupe. Si une instance ActiveView inclut d'autres instances ActiveView, le serveur d'administration recherche également ces instances ActiveView supplémentaires. Le serveur d'administration détermine si l'assistant administrateur dispose du pouvoir Réinitialiser le mot de passe du compte utilisateur dans l'une de ces instances ActiveView. Si l'assistant administrateur possède le pouvoir Réinitialiser le mot de passe du compte utilisateur, le serveur d'administration réinitialise le mot de passe de JSmith. S'il ne dispose pas de ce pouvoir, le serveur d'administration refuse la requête.

6.3.2 Exemple 2 : chevauchement d'instances ActiveView

Un pouvoir définit les propriétés d'un objet qu'un assistant administrateur peut afficher, modifier ou créer dans votre domaine ou votre sous-arborescence gérée. Plusieurs instances ActiveView peuvent inclure le même objet. Cette configuration est désignée sous le terme de chevauchement d'instances ActiveView.

Lorsque des instances ActiveView se chevauchent, vous pouvez accumuler un ensemble de pouvoirs différents pour les mêmes objets. Par exemple, si une instance ActiveView vous permet d'ajouter un compte utilisateur à un domaine et qu'une autre instance ActiveView vous permet de supprimer un compte utilisateur du même domaine, vous pouvez ajouter ou supprimer des comptes utilisateur dans ce domaine. De cette manière, les pouvoirs dont vous disposez sur un objet donné sont cumulatifs.

Il est important de comprendre comment se chevauchent les instances ActiveView et comment vous pouvez obtenir des pouvoirs accrus sur les objets inclus dans ces dernières. Imaginons la configuration ActiveView illustrée dans la figure suivante.

Les onglets blancs identifient les instances ActiveView par emplacement : New York City et Houston. Les onglets noirs identifient les instances ActiveView selon leur fonction organisationnelle : Sales et Marketing. Les cellules affichent les groupes inclus dans chaque instance ActiveView.

Le groupe NYC_Sales et le groupe HOU_Sales sont représentés tous les deux dans l'instance ActiveView Sales. Si vous disposez de pouvoirs dans l'instance ActiveView Sales, vous pouvez gérer tous les membre des groupes NYC_Sales et HOU_Sales. Si vous disposez également de pouvoirs dans l'instance ActiveView New York City, ces pouvoirs supplémentaires s'appliquent au groupe NYC_Marketing. De cette manière, les pouvoirs s'accumulent selon les chevauchements des instances ActiveView.

Le chevauchement des instances ActiveView peut fournir un modèle de délégation souple et puissant. Toutefois, cette fonction peut également avoir des conséquences inattendues. Planifiez soigneusement vos instances ActiveView pour être certain que chaque assistant administrateur dispose uniquement des pouvoirs prévus pour chaque compte utilisateur, groupe, unité organisationnelle, contact ou ressource.

Groupes dans plusieurs instances ActiveView

Dans cet exemple, le groupe NYC_Sales est représenté dans plusieurs instances ActiveView. Les membres du groupe NYC_Sales sont représentés dans l'instance ActiveView New York City parce que le nom du groupe correspond à la règle ActiveView NYC_*. Le groupe est également dans l'instance ActiveView Sales, car son nom satisfait à la règle ActiveView *_Sales. En incluant le même groupe dans plusieurs instances ActiveView, vous pouvez autoriser différents assistants administrateur à gérer les mêmes objets différemment.

Utilisation des pouvoirs dans plusieurs instances ActiveView

Supposons qu'un assistant administrateur, JSmith, dispose du pouvoir Modifier les propriétés des utilisateurs généraux dans l'instance ActiveView New York City. Ce premier pouvoir permet à JSmith de modifier toutes les propriétés sous l'onglet Général de la fenêtre des propriétés d'un utilisateur. JSmith possède le pouvoir Modifier les propriétés du profil utilisateur dans l'instance ActiveView Sales. Ce deuxième pouvoir permet à JSmith de modifier toutes les propriétés sous l'onglet Profil de la fenêtre des propriétés d'un utilisateur.

La figure suivante indique les pouvoirs que JSmith possède pour chaque groupe.

JSmith dispose des pouvoirs suivants :

• Propriétés générales dans l'instance ActiveView NYC_*

• Propriétés du profil dans l'instance ActiveView *_Sales

La délégation de pouvoirs dans ces chevauchements d'instances ActiveView permet à JSmith de modifier les propriétés générales et de profil du groupe NYC_Sales. Par conséquent, JSmith dispose de tous les pouvoirs accordés dans toutes les instances ActiveView qui représentent le groupe NYC_Sales.

7.1.1 Accès aux instances ActiveView intégrées

Accédez aux instances ActiveView intégrées pour auditer le modèle de délégation par défaut ou pour gérer vos propres paramètres de sécurité.

7.1.2 Utilisation des instances ActiveView intégrées

Vous ne pouvez pas supprimer, cloner ni modifier des instances ActiveView intégrées. En revanche, vous pouvez les insérer dans votre modèle de délégation existant ou les utiliser pour concevoir votre propre modèle.

Vous pouvez employer des instances ActiveView intégrées comme suit :

Pour plus d'informations sur la conception d'un modèle de délégation dynamique, reportez-vous à la section Présentation du modèle de délégation dynamique.

7.2.1 Règles ActiveView

Une instance ActiveView peut être constituée de règles qui incluent ou excluent des objets tels que des comptes utilisateur, des groupes, des unités organisationnelles (OU), des contacts, des ressources, des ordinateurs, des boîtes aux lettres de ressources, des boîtes aux lettres partagées, des groupes de distribution dynamique, des comptes de service administrés de groupe, des instances ActiveView, ainsi que des objets Azure tels que des utilisateurs Azure, des utilisateurs invité Azure, des groupes Azure et des contacts Azure. Cette flexibilité rend les instances ActiveView dynamiques.

Ces correspondances sont appelées des caractères joker. Par exemple, vous pouvez définir une règle pour inclure tous les ordinateurs dont les noms correspondent à DOM*. Cette spécification de caractère joker recherche tout compte d'ordinateur dont le nom commence par la chaîne de caractères DOM. La correspondance par caractère joker rend l'administration dynamique, car les comptes sont automatiquement inclus lorsqu'ils satisfont à la règle. De cette façon, lorsque vous utilisez des caractères joker, il est inutile de reconfigurer les instances ActiveView lorsque votre organisation change.

Un autre exemple consiste à définir les instances ActiveView en fonction de l'adhésion au groupe. Vous pouvez définir une règle qui inclut tous les membres des groupes qui commencent par les lettres NYC. Ensuite, chaque membre ajouté à n'importe quel groupe qui correspond à cette règle est automatiquement inclus dans cette instance ActiveView. Lorsque votre entreprise change ou se développe, DRA réapplique les règles pour inclure ou exclure les nouveaux objets dans les instances ActiveView appropriées.

8.1.1 Gestion Azure Active Directory

8.1.2 Administration

8.1.3 Gestion des requêtes avancées

8.1.4 Gestion des audits

8.1.5 Gestion de l'ordinateur

8.1.6 Gestion d'Exchange

8.1.7 Gestion des groupes

8.1.8 Gestion des rapports

8.1.9 Gestion des ressources

8.1.10 Gestion du serveur

8.1.11 Gestion des comptes utilisateur

8.1.12 Administration WTS

9.1.1 Pouvoirs Azure

Utilisez les pouvoirs ci-dessous pour déléguer la création et la gestion des utilisateurs, des groupes et des contacts Azure.

Pouvoirs des comptes utilisateur Azure :

Pouvoirs des groupes Azure :

Pouvoirs des contacts Azure :

Pouvoir des comptes utilisateur invité Azure :

Les pouvoirs répertoriés pour les comptes utilisateur Azure s'appliquent également aux comptes utilisateur invité Azure.

Pour gérer les propriétés de niveau granulaire des objets Azure, vous pouvez créer des pouvoirs personnalisés en sélectionnant des attributs d'objet donnés.

11.3.1 Configuration du MMS

Un environnement MMS utilise plusieurs serveurs d'administration pour gérer le même ensemble de domaines et de serveurs membres. Un MMS comprend un serveur d'administration primaire et plusieurs serveurs d'administration secondaires.

Le mode par défaut pour le serveur d'administration est Primaire. Lorsque vous ajoutez des serveurs secondaires à votre environnement MMS, n'oubliez pas qu'un serveur d'administration secondaire ne peut appartenir qu'à un seul ensemble de serveurs.

Pour vous assurer que tous les serveurs de l'ensemble gèrent les mêmes données, synchronisez régulièrement les serveurs secondaires avec le serveur d'administration primaire. Pour simplifier la maintenance, utilisez le même compte de service pour tous les serveurs d'administration de la forêt du domaine.

11.3.2 Gestion des exceptions de clonage

Les exceptions de clonage permettent de définir des propriétés d'utilisateurs, de groupes, de contacts et d'ordinateurs qui ne sont pas copiées en cas de clonage de l'un de ces objets.

Vous pouvez gérer les exceptions de clonage pour autant que vous disposiez des pouvoirs appropriés. Le rôle Gérer les exceptions de clonage octroie des pouvoirs pour afficher, créer et supprimer des exceptions de clonage.

Pour afficher ou supprimer une exception de clonage existante ou pour en créer une, accédez à Configuration Management (Gestion de la configuration) > Clone Exceptions (Exceptions de clonage) > Tasks (Tâches) ou cliquez avec le bouton droit.

11.3.3 Réplication des fichiers

Lorsque vous créez des outils personnalisés, il se peut qu'avant d'exécuter ces derniers, vous deviez installer, sur l'ordinateur de la console de délégation et de configuration DRA, des fichiers d'accompagnement utilisés par ces outils. Vous pouvez utiliser les fonctions de réplication de fichiers DRA pour répliquer rapidement et facilement les fichiers d'accompagnement des outils personnalisés à partir du serveur d'administration primaire vers les serveurs d'administration secondaires dans le MMS ainsi que vers les ordinateurs client DRA. La réplication des fichiers vous permet également de répliquer les scripts de déclenchement du serveur primaire vers les serveurs secondaires.

Les fonctions Outils personnalisés et Réplication de fichiers ne sont disponibles que dans la console de délégation et de configuration.

Vous pouvez utiliser des outils personnalisés et la réplication des fichiers ensemble pour vous assurer que les ordinateurs client DRA peuvent bien accéder aux fichiers des outils personnalisés. DRA réplique les fichiers des outils personnalisés sur les serveurs d'administration secondaires pour que les ordinateurs client DRA se connectant aux serveurs d'administration secondaires puissent accéder à ces outils.

DRA réplique les fichiers des outils personnalisés présents sur le serveur d'administration primaire vers les serveurs d'administration secondaires au cours du processus de synchronisation MMS. DRA télécharge les fichiers des outils personnalisés sur les ordinateurs client DRA lorsque ces derniers se connectent aux serveurs d'administration.

{DRAInstallDir}\FileTransfer\Replicate 

{DRAInstallDir}\FileTransfer\Download 

11.3.4 Azure Sync

Grâce à Azure Sync, vous pouvez appliquer des stratégies concernant les caractères qui ne sont pas valides et le nombre de caractères autorisés pour éviter les échecs de synchronisation d'annuaires. Cette option garantit que les propriétés synchronisées avec Azure Active Directory restreignent les caractères non valides et appliquent des limites de longueur de caractères.

11.3.5 Activation de plusieurs gestionnaires pour les groupes

Lorsque vous activez la prise en charge de plusieurs gestionnaires pour gérer un groupe, un des deux attributs par défaut est utilisé pour enregistrer les gestionnaires du groupe. En cas d'exécution de Microsoft Exchange, l'attribut est msExchCoManagedByLink. Si le système n'exécute pas Microsoft Exchange, l'attribut par défaut est nonSecurityMember. Cette dernière option peut être modifiée. Toutefois, il est recommandé de contacter le support technique afin de déterminer un attribut approprié si vous avez besoin de modifier ce paramètre.

11.3.6 Communications chiffrées

Cette fonction vous permet d'activer ou de désactiver l'utilisation de communications chiffrées entre le client de délégation et de configuration et le serveur d'administration. Par défaut, DRA chiffre les mots de passe des comptes. Cette fonctionnalité ne chiffre pas les communications PowerShell ou des clients Web, lesquelles sont traitées séparément par des certificats de serveur.

L'utilisation de communications chiffrées peut affecter les performances. Par défaut, la communication chiffrée est désactivée. Si vous activez cette option, les données sont chiffrées pendant la communication entre les interfaces utilisateur et le serveur d'administration. DRA utilise le chiffrement standard Microsoft pour les appels de procédure distante (Remote Procedure Call, RPC).

Pour activer les communications chiffrées, accédez à Configuration Management > Update Administration Server Options (Mettre à jour les options de serveur d'administration) > onglet General (Général), puis cochez la case Encrypted Communications (Communications chiffrées).

11.3.7 Définition d'attributs virtuels

L'utilisation d'attributs virtuels permet de créer des propriétés et de les associer à des utilisateurs, des groupes, des groupes de distribution dynamique, des contacts, des ordinateurs et des unités organisationnelles. Grâce aux attributs virtuels, vous pouvez créer des propriétés sans avoir à étendre le schéma Active Directory.

Les attributs virtuels vous permettent d'ajouter des propriétés aux objets dans Active Directory (AD). Vous pouvez créer, activer, désactiver, associer ou dissocier des attributs virtuels uniquement sur le serveur d'administration primaire. DRA stocke les attributs virtuels que vous créez dans AD LDS. DRA réplique les attributs virtuels présents sur le serveur d'administration primaire vers les serveurs d'administration secondaires au cours du processus de synchronisation MMS.

Vous pouvez gérer les attributs virtuels pour autant que vous disposiez des pouvoirs appropriés. Le rôle Manage Virtual Attributes (Gérer les attributs virtuels) octroie des pouvoirs pour créer, activer, associer, dissocier, désactiver et afficher des attributs virtuels.

11.3.8 Configuration du caching

Le serveur d'administration crée et gère un cache des comptes qui contient des parties de l'annuaire Active Directory pour les domaines gérés. DRA utilise le cache des comptes pour améliorer les performances lors de la gestion des comptes utilisateur, des groupes, des contacts et des comptes d'ordinateur.

Pour planifier une heure de rafraîchissement du cache ou pour afficher l'état du cache, vous devez disposer des pouvoirs appropriés, tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines.

11.3.9 Activation de la collecte des imprimantes Active Directory

La collecte des imprimantes AD est désactivée par défaut. Pour l'activer, accédez à Configuration Management > Update Administration Server Options (Mettre à jour les options de serveur d'administration) > onglet General (Général), puis cochez la case Collect Printers (Collecter les imprimantes).

11.3.10 AD LDS

Vous pouvez configurer le rafraîchissement de nettoyage AD LDS afin qu'il s'exécute selon une planification pour des domaines spécifiques. Le paramètre par défaut est « Jamais ». Vous pouvez également afficher l'état de nettoyage et consulter des informations spécifiques relatives à la configuration AD LDS (ADAM).

Pour configurer la planification ou afficher l'état du nettoyage d'AD LDS, cliquez avec le bouton droit sur le domaine souhaité sur le noeud Account and Resource Management (Gestion des comptes et des ressources) > All My Managed Objects (Tous mes objets gérés), puis sélectionnez respectivement Properties (Propriétés) > Adlds Cleanup Refresh Schedule (Planification du rafraîchissement de nettoyage d'AD LDS) ou Adlds Cleanup status (État du nettoyage d'AD LDS).

Pour afficher les informations de configuration d'AD LDS (ADAM), accédez à Configuration Management > Update Server Options (Mettre à jour les options de serveur) > ADAM Configuration (Configuration ADAM).

11.3.11 Groupe dynamique

Un groupe dynamique est un groupe dont l'adhésion change en fonction d'un ensemble défini de critères que vous configurez dans les propriétés du groupe. Dans les propriétés du domaine, vous pouvez configurer le rafraîchissement de groupe dynamique à exécuter selon une planification pour des domaines spécifiques. Le paramètre par défaut est « Jamais ». Vous pouvez également afficher l'état de rafraîchissement.

Pour configurer la planification ou afficher l'état de rafraîchissement de groupe dynamique, cliquez avec le bouton droit sur le domaine souhaité sur le noeud Account and Resource Management (Gestion des comptes et des ressources) > All My Managed Objects (Tous mes objets gérés), puis sélectionnez respectivement Properties (Propriétés) > Dynamic group refresh (Rafraîchissement de groupe dynamique) ou Dynamic group status (État du groupe dynamique).

Pour plus d'informations sur les groupes dynamiques, reportez-vous à la section Groupes dynamiques DRA.

11.3.12 Configuration de la corbeille

Vous pouvez activer ou désactiver la corbeille pour chaque domaine Microsoft Windows ou pour des objets au sein de chaque domaine, et configurer quand et comment vous voulez que le nettoyage de la corbeille se produise.

Pour plus d'informations sur l'utilisation de la corbeille, reportez-vous à la section Corbeille.

11.3.13 Configuration de la création de rapports

Les sections suivantes fournissent des informations conceptuelles à propos des rapports de gestion DRA et des collecteurs de rapports que vous pouvez activer. Pour atteindre l'assistant dans lequel vous pouvez configurer les collecteurs, accédez à Configuration Management > Update Reporting Service Configuration (Mettre à jour la configuration du service de création de rapports).

11.3.14 Délégation des pouvoirs de configuration du serveur d'automatisation du workflow

Pour gérer le workflow, assignez le rôle Workflow Automation Server Administration (Administration du serveur d'automatisation du workflow) ou les pouvoirs applicables ci-dessous aux assistants administrateur :

Pour déléguer les pouvoirs de configuration du serveur d'automatisation du workflow, procédez comme suit :

11.3.15 Configuration du serveur d'automatisation du workflow

Pour utiliser Workflow Automation dans DRA, vous devez installer le moteur d'automatisation du workflow sur un serveur Windows, puis configurer le serveur Workflow Automation via la console de délégation et de configuration.

Pour configurer le serveur d'automatisation du workflow, procédez comme suit :

Pour plus d'informations sur l'installation du moteur d'automatisation du workflow, reportez-vous au Guide de l'administrateur de Workflow Automation sur le site de documentation relative à DRA.

11.3.16 Délégation des pouvoirs de recherche LDAP

DRA vous permet de rechercher des objets LDAP dans les domaines Active Directory locaux, tels les utilisateurs, les contacts, les ordinateurs, les groupes et les unités organisationnelles provenant du serveur LDAP. Le serveur DRA continue à gérer l'opération et correspond au contrôleur de domaine sur lequel la recherche est exécutée. Utilisez les filtres de recherche pour effectuer des recherches plus efficaces. Vous pouvez également enregistrer une requête de recherche afin de pouvoir l'utiliser ultérieurement et de la partager en tant que requête publique ou de la limiter à votre propre usage en la configurant comme privée. Vous pouvez éditer les requêtes enregistrées. Le rôle LDAP Advanced Queries (Requêtes LDAP avancées) accorde aux assistants administrateur les pouvoirs de créer et de gérer les requêtes de recherche LDAP. Pour déléguer la création et la gestion des requêtes de recherche LDAP, utilisez les pouvoirs suivants :

Pour déléguer les pouvoirs des requêtes LDAP, procédez comme suit :

Pour accéder à la fonction de recherche dans la console Web, accédez à Management (Gestion) > LDAP Search (Recherche LDAP).

11.4.1 Installer l'agent Windows Change Guardian

Avant de commencer l'intégration de DRA et de CG, installez l'agent Windows Change Guardian. Pour plus d'informations, reportez-vous au document Change Guardian Installation and Administration Guide (Guide d'installation et d'administration de Change Guardian).

11.4.2 Ajouter une clé de licence Active Directory

Vous devez ajouter des licences pour le serveur Change Guardian et les applications ou modules que vous envisagez de surveiller.. Pour plus d'informations, reportez-vous au document Change Guardian Installation and Administration Guide (Guide d'installation et d'administration de Change Guardian).

11.4.3 Configurer Active Directory

Pour configurer Active Directory pour l'historique des modifications, reportez-vous aux sections suivantes :

11.4.4 Créer et assigner une stratégie Active Directory

Vous pouvez créer une stratégie sans paramètres préconfigurés.

11.4.5 Gérer les domaines Active Directory

Pour configurer un domaine dans DRA en tant que domaine géré, reportez-vous à la section Gestion des domaines Active Directory.

11.4.6 Activer l'horodatage des événements dans DRA

Lorsque l'audit AD Domain Services est activé, les événements DRA sont consignés comme ayant été générés par le compte de service DRA ou le compte d'accès au domaine s'il est configuré. L'horodatage des événements améliore encore cette fonction en générant un événement AD DS supplémentaire qui identifie l'assistant administrateur ayant effectué l'opération.

Pour que ces événements soient générés, vous devez configurer l'audit AD DS et activer l'horodatage des événements sur le serveur d'administration DRA. Lorsque l'horodatage des événements est activé, vous pouvez consulter les modifications apportées dans les rapports d'événements Change Guardian par les assistants administrateur.

Pour plus d'informations sur l'horodatage des événements, reportez-vous à la section Fonctionnement de l'horodatage des événements.

11.4.7 Configurer l'historique des modifications unifiées

La fonctionnalité Unified Change History Server (Serveur d'historique des modifications unifiées) permet de générer des rapports sur les modifications effectuées en dehors de DRA.

11.4.8 Accéder aux rapports de l'historique des modifications unifiées

Pour générer et afficher des rapports de l'historique des modifications unifiées sur les objets Active Directory via Change Guardian, reportez-vous à la section Generating Change History Reports (Génération de rapports de l'historique des modifications) du document Directory and Resource Administrator User Guide (Guide de l'utilisateur de Directory and Resource Administrator).

11.7.1 Démarrage de la console Web

Vous pouvez lancer la console Web depuis n'importe quel ordinateur, périphérique iOS ou périphérique Android équipé d'un navigateur Web. Pour démarrer la console, entrez l'URL appropriée dans le champ d'adresse du navigateur Web. Par exemple, si vous avez installé le composant Web sur l'ordinateur HOUserver, tapez https://HOUserver/draclient dans le champ d'adresse de votre navigateur Web.

11.7.2 Déconnexion automatique

Vous pouvez définir un délai d'inactivité à l'issue duquel la console Web se déconnecte automatiquement ou indiquer qu'elle ne se déconnecte jamais automatiquement.

Pour configurer la déconnexion automatique au niveau de la console Web, accédez à Administration > Configuration > Déconnexion automatique.

11.7.3 Connexion à un serveur DRA

Vous pouvez utiliser l'une des options suivantes pour vous connecter à la console Web. Le comportement de chaque option, lors de la connexion, est décrit dans le tableau ci-dessous :

Pour configurer la connexion à un serveur DRA au niveau de la console Web, accédez à Administration > Configuration > Connexion au serveur DRA.

11.7.4 Authentification

Cette section contient des informations pour la configuration de l'authentification par carte à puce, de l'authentification Windows et de l'authentification multi-critères grâce à l'intégration d'Advanced Authentication.

12.1.1 Ajout d'un domaine ou d'un ordinateur géré

12.1.2 Spécification de comptes d'accès de domaine

Pour chaque sous-arborescence ou domaine géré, vous pouvez spécifier un compte à utiliser au lieu du compte de service du serveur d'administration pour accéder à ce domaine. Ce compte de remplacement est appelé un compte d'accès. Pour configurer un compte d'accès, vous devez disposer des pouvoirs appropriés, tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines.

Afin de spécifier un compte d'accès pour un serveur membre, vous devez être autorisé à gérer le domaine dans lequel le membre de domaine existe. Vous ne pouvez gérer des membres de domaine que s'ils existent dans un domaine géré auquel vous avez accès via le serveur d'administration.

Pour plus d'informations sur la configuration de ce compte à privilège minimal, reportez-vous à la section Comptes d'accès DRA à privilège minimal.

12.1.3 Spécification de comptes d'accès Exchange

Pour chaque domaine de DRA, vous pouvez gérer les objets Exchange à l'aide du compte d'accès de domaine DRA ou d'un compte d'accès Exchange distinct. Pour configurer un compte d'accès Exchange, vous devez disposer des pouvoirs appropriés, tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines.

Pour plus d'informations sur la configuration de ce compte à privilège minimal, reportez-vous à la section Comptes d'accès DRA à privilège minimal.

12.1.4 Ajout d'une sous-arborescence gérée

Vous pouvez ajouter des sous-arborescences gérées et manquantes à partir de domaines Microsoft Windows spécifiques après l'installation du serveur d'administration. Pour ajouter une sous-arborescence gérée, vous devez disposer des pouvoirs appropriés, tels que ceux inclus dans le rôle intégré Configurer les serveurs et les domaines.

Pour plus d'informations sur les versions de Microsoft Windows prises en charge, reportez-vous à la section Configuration requise pour la console Web et le serveur d'administration DRA.

En gérant une sous-arborescence d'un domaine Windows, vous pouvez utiliser DRA pour sécuriser un service ou une division au sein d'un domaine d'entreprise plus vaste.

Par exemple, vous pouvez spécifier la sous-arborescence Houston dans le domaine SOUTHWEST, ce qui permet à DRA de gérer en toute sécurité uniquement les objets contenus dans l'unité organisationnelle Houston et ses unités organisationnelles enfants. Cette flexibilité vous permet de gérer une ou plusieurs sous-arborescences sans nécessiter d'autorisations d'administration pour l'intégralité du domaine.

12.1.5 Ajout d'un domaine approuvé

Les domaines approuvés activent l'authentification utilisateur sur les systèmes gérés dans l'ensemble de votre environnement géré. Une fois que vous avez ajouté un domaine approuvé, vous pouvez spécifier des comptes d'accès de domaine et Exchange, planifier des rafraîchissements du cache et effectuer d'autres actions dans les propriétés du domaine, comme pour un domaine géré.

Pour ajouter un domaine approuvé :

12.2.1 Activer LDAP sur SSL (LDAPS)

Si vous effectuez une mise à niveau de DRA version 9.x vers une version 10.x, suivez la procédure ci-dessous. Si vous configurez DRA pour une nouvelle installation, reportez-vous à la section Ajout d'un domaine ou d'un ordinateur géré.

12.2.2 Configurer la découverte automatique pour LDAPS

La découverte automatique est le mécanisme utilisé par le client pour se connecter automatiquement à l'environnement DRA disponible.

Pour configurer DRA pour un environnement exécutant Secure Active Directory, configurez la clé de Registre ClientSSLAllDomains :

12.3.1 Affichage et modification des propriétés d'un domaine de dossiers publics

Pour afficher ou modifier les propriétés d'un domaine de dossiers publics :

12.3.2 Délégation des pouvoirs de dossiers publics

Les instances ActiveView permettent de définir des pouvoirs et de gérer la délégation de dossiers publics. Vous pouvez spécifier des règles pour ajouter des objets gérés, choisir des domaines et assigner des pouvoirs, puis déléguer ces pouvoirs de dossiers publics aux assistants administrateur.

Pour créer une instance ActiveView et déléguer des pouvoirs de dossiers publics, procédez comme suit :

Une fois les pouvoirs de dossiers publics délégués, les utilisateurs autorisés sont en mesure de créer, lire, mettre à jour et supprimer des propriétés de dossier public dans les domaines configurés à l'aide de la console Web.

12.5.1 Ajout d'un nouveau locataire Azure

Pour gérer un nouveau locataire Azure, vous devez créer une application Azure hors ligne à l'aide du script PowerShell fourni par DRA. DRA accorde automatiquement les autorisations nécessaires à l'application Azure pour gérer les objets du locataire. Pour obtenir la liste des autorisations requises par l'application Azure, reportez-vous à la section Comptes d'accès DRA à privilège minimal.

Pour créer une application Azure pour DRA et ajouter un locataire Azure :

12.5.2 Téléchargement manuel d'un certificat

Si vous souhaitez utiliser votre propre certificat ou si le certificat personnalisé existant a expiré et que vous souhaitez spécifier un nouveau certificat, vous pouvez télécharger le certificat à partir de la page des propriétés du locataire Azure. Les formats de fichier de certificat pris en charge sont .pfx et .cer.

Pour télécharger un certificat :

12.5.3 Configuration de l'authentification par certificat pour une application Azure après la mise à niveau vers la version 10.2

Après avoir effectué la mise à niveau vers DRA 10.2, vous pouvez basculer de l'authentification de base à l'authentification par certificat et configurer l'application Azure pour qu'elle utilise l'authentification par certificat. L'application Azure requiert des autorisations supplémentaires pour l'authentification par certificat. Pour appliquer les autorisations requises à l'application Azure, vous devez exécuter le script UpdateDraAzureApplicationPermission.ps1.

Pour configurer l'application Azure afin qu'elle utilise l'authentification par certificat après la mise à niveau, procédez comme suit :

12.5.4 Réinitialisation du secret client pour une application Azure

Suivez la procédure ci-dessous pour réinitialiser le secret client pour une application Azure.

Pour réinitialiser le secret client d'une application Azure :

12.5.5 Configuration de l'invitation des utilisateurs invité Azure

Lorsque vous invitez des utilisateurs invité Azure à Azure Active Directory, DRA leur envoie un message électronique contenant un message de bienvenue personnalisé et un lien d'invitation. Vous pouvez configurer ce message de bienvenue et le lien d'invitation ou l'URL de redirection que vous souhaitez afficher dans l'invitation. Après avoir accepté l'invitation, un utilisateur invité Azure est redirigé vers l'URL pour pouvoir se connecter à l'aide de ses informations d'identification.

Pour configurer l'invitation des utilisateurs invité :

12.6.1 Réinitialiser le mot de passe manuellement

Utilisez la console de délégation et de configuration pour réinitialiser manuellement le mot de passe d'un compte d'accès.

Pour réinitialiser manuellement le mot de passe d'un compte d'accès :

12.6.2 Planifier un travail de réinitialisation du mot de passe

Vous pouvez planifier le travail de réinitialisation du mot de passe pour qu'il s'exécute à un intervalle prédéfini afin de réinitialiser les mots de passe arrivant à expiration de vos comptes d'accès. Le travail réinitialise tous les mots de passe des comptes d'accès devant expirer avant la prochaine exécution planifiée du travail. Un nouveau mot de passe est automatiquement généré conformément à la stratégie de mot de passe.

Le travail est désactivé par défaut. Vous pouvez planifier le travail une fois par semaine ou à un intervalle spécifique, selon vos besoins. Dans un environnement MMS, si vous configurez le travail sur le serveur primaire, veillez à ce qu'il soit configuré sur tous les serveurs du MMS.

Pour configurer le travail :

13.2.1 Présentation des stratégies intégrées

Les stratégies intégrées proposent des règles d'entreprise répondant aux problèmes courants de sécurité et d'intégrité des données. Ces stratégies font partie du modèle de sécurité par défaut, ce qui vous permet d'intégrer des fonctions de sécurité DRA dans votre configuration d'entreprise existante.

DRA permet d'appliquer des stratégies de deux manières. Vous pouvez créer des stratégies personnalisées ou choisir parmi plusieurs stratégies intégrées. Les stratégies intégrées permettent d'appliquer facilement une stratégie, sans devoir développer des scripts personnalisés. Si vous devez implémenter une stratégie personnalisée, vous pouvez adapter une stratégie intégrée existante pour répondre à vos besoins. La plupart des stratégies vous permettent de modifier le texte du message d'erreur, de renommer la stratégie, d'ajouter une description et de spécifier le mode d'application de la stratégie.

Plusieurs stratégies intégrées sont activées lorsque vous installez DRA. Les stratégies suivantes sont implémentées par défaut. Si vous ne souhaitez pas appliquer ces stratégies, vous pouvez les désactiver ou les supprimer.

13.2.2 Stratégies disponibles

DRA fournit plusieurs stratégies que vous pouvez personnaliser pour votre modèle de sécurité.

13.2.3 Utilisation des stratégies intégrées

Étant donné que les stratégies intégrées font partie intégrante du modèle de sécurité par défaut, vous pouvez les utiliser pour appliquer votre modèle de sécurité actuel ou les modifier pour mieux répondre à vos besoins. Vous pouvez modifier le nom, les paramètres de règle, l'étendue, la relation et le message d'erreur de plusieurs stratégies intégrées. Vous pouvez activer ou désactiver chaque stratégie intégrée.

Vous pouvez aussi facilement créer des stratégies.

13.4.1 Groupes de sécurité intégrés natifs pouvant être restreints

Vous pouvez limiter les pouvoirs des groupes de sécurité intégrés de Microsoft Windows suivants à l'aide de stratégies DRA :

13.4.2 Restriction des actions sur les groupes de sécurité intégrés natifs

DRA utilise une stratégie pour limiter les pouvoirs que les groupes de sécurité intégrés natifs et leurs membres peuvent exercer. Cette stratégie, nommée $SpecialGroupsPolicy, limite les actions qu'un membre d'un groupe de sécurité intégré natif peut effectuer sur d'autres membres ou d'autres groupes de sécurité intégrés natifs. DRA active cette stratégie par défaut. Si vous ne souhaitez pas limiter les actions sur les groupes de sécurité intégrés natifs et leurs membres, vous pouvez désactiver cette stratégie.

Lorsque cette stratégie est activée, DRA utilise les tests de validation suivants pour déterminer si une action est autorisée sur un groupe de sécurité intégré natif ou ses membres :

Par exemple, si vous êtes membre des groupes Opérateurs de serveur et Opérateurs de compte et que vous disposez des pouvoirs appropriés, vous pouvez effectuer des actions sur les membres du groupe Opérateurs de serveur, les membres du groupe Opérateurs de compte ou les membres de ces deux groupes. En revanche, vous ne pouvez pas effectuer des actions sur un compte utilisateur qui est à la fois membre du groupe Opérateurs d'impression et du groupe Opérateurs de compte.

DRA vous empêche d'effectuer les actions suivantes sur les groupes de sécurité intégrés natifs :

DRA limite également les actions de sorte que vous ne puissiez pas acquérir des pouvoirs sur un objet. Par exemple, lorsque vous ajoutez un compte utilisateur à un groupe, DRA vérifie que cela ne vous octroie pas des pouvoirs supplémentaires sur le compte utilisateur parce qu'il est membre de ce groupe. Cette validation aide à protéger contre une escalade des pouvoirs.

13.5.1 Stratégies Microsoft Exchange

Exchange fournit plusieurs stratégies qui vous aident à gérer efficacement les objets Microsoft Exchange. Les stratégies Microsoft Exchange permettent d'automatiser la gestion des boîtes aux lettres, d'appliquer des conventions de dénomination pour les alias et les banques de boîtes aux lettres, et de générer automatiquement des adresses électroniques.

Ces stratégies peuvent vous aider à rationaliser vos workflows et à préserver l'intégrité des données. Par exemple, vous pouvez spécifier la façon dont Exchange gère les boîtes aux lettres lorsque vous créez, modifiez ou supprimez des comptes utilisateur. Pour définir et gérer des stratégies Microsoft Exchange, vous devez disposer des pouvoirs appropriés, tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation.

13.5.2 Stratégie de licences Office 365

Pour spécifier des stratégies de licences Office 365, vous devez disposer des pouvoirs appropriés, tels ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation. Votre licence doit également prendre en charge le produit Microsoft Exchange.

13.5.3 Création et implémentation de stratégies de répertoire privé

Lorsque vous gérez un grand nombre de comptes utilisateur, la création et la maintenance de ces répertoires et partages privés peuvent nécessiter beaucoup de temps et être sources d'erreurs en termes de sécurité. Des opérations supplémentaires peuvent être nécessaires à chaque fois qu'un utilisateur est créé, renommé ou supprimé. Les stratégies de répertoire privé vous aident à gérer la maintenance des répertoires et partages privés.

DRA vous permet d'automatiser la création et la maintenance des répertoires privés des utilisateurs. Par exemple, vous pouvez facilement configurer DRA afin que le serveur d'administration crée un répertoire privé lorsque vous créez un compte utilisateur. Dans ce cas, si vous spécifiez un chemin de répertoire privé lors de la création du compte utilisateur, le serveur crée automatiquement le répertoire privé à l'emplacement spécifié. Si vous ne spécifiez pas de chemin, le serveur ne crée pas le répertoire privé.

DRA prend en charge les chemins DFS (Distributed File System) lors de la création de répertoires privés des utilisateurs ou lors de la configuration des stratégies de répertoire privé pour les utilisateurs dans des chemins parents autorisés. Vous pouvez créer, renommer et supprimer des répertoires privés sur les partitions ou dans les chemins DFS et de serveurs de fichiers Netapp.

13.5.4 Activation de la génération de mot de passe

Cette fonction permet de spécifier les paramètres de stratégie pour les mots de passe que DRA génère. DRA n'applique pas ces paramètres aux mots de passe créés par les utilisateurs. Lors de la configuration des propriétés de la stratégie de mot de passe, la longueur de mot de passe ne doit pas être inférieure à 6 caractères ni supérieure à 127 caractères, et toutes les valeurs peuvent être définies sur zéro, à l'exception de la longueur de mot de passe et de la limite maximale.

Pour configurer des stratégies de génération de mot de passe, accédez à Gestion des stratégies et de l'automatisation > Configure Password Generation Policies (Configurer des stratégies de génération de mot de passe), puis cochez la case Enable Password Policy (Activer une stratégie de mot de passe). Cliquez sur Password Settings (Paramètres du mot de passe) et configurez les propriétés de la stratégie de mot de passe.

13.5.5 Tâches de stratégie

Pour supprimer, activer ou désactiver des stratégies, vous devez disposer des pouvoirs appropriés, tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation.

Pour effectuer une de ces actions, accédez à Gestion des stratégies et de l'automatisation > Stratégie. Dans le volet de droite, cliquez avec le bouton droit sur la stratégie que vous souhaitez supprimer, activer ou désactiver, puis sélectionnez l'action souhaitée.

13.6.1 Spécification d'une stratégie de dénomination automatisée de boîte aux lettres

Pour spécifier des options de dénomination automatisée de boîte aux lettres, vous devez disposer des pouvoirs appropriés, tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation, et votre licence doit prendre en charge le produit Exchange.

13.6.2 Spécification d'une règle de dénomination de ressource

Pour spécifier des options de dénomination de ressource, vous devez disposer des pouvoirs appropriés, tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation, et votre licence doit prendre en charge le produit Exchange.

13.6.3 Spécification d'une stratégie de dénomination d'archive

Pour spécifier des options de dénomination d'archive, vous devez disposer des pouvoirs appropriés, tels que ceux inclus dans le rôle intégré Gérer les stratégies et les déclencheurs d'automatisation, et votre licence doit prendre en charge le produit Exchange.

16.1.1 Activation et désactivation de l'audit des journaux d'événements Windows pour DRA

Lorsque vous installez DRA, par défaut, les événements d'audit ne sont pas consignés dans le journal des événements Windows. Vous pouvez activer ce type de consignation en modifiant une clé de registre.

16.1.2 Garantie de l'intégrité des audits

Pour garantir que toutes les actions des utilisateurs sont auditées, DRA fournit d'autres méthodes de consignation lorsque le produit ne peut pas vérifier l'activité de consignation. Lorsque vous installez DRA, la clé AuditFailsFilePath et son chemin sont ajoutés à votre registre pour assurer les actions suivantes :

Pour activer les opérations d'écriture lorsque l'archive du journal n'est pas disponible, vous devez également définir une valeur de clé de registre pour la clé AllowOperationsOnAuditFailure.

16.2.1 Utilisation de l'utilitaire de visionneuse des archives de journaux

L'utilitaire de visionneuse des archives de journaux permet d'afficher les données stockées dans des fichiers d'archivage des journaux. Il est fourni avec le kit NetIQ DRA LARK (Log Archive Resource Kit) que vous pouvez installer avec DRA. Pour plus d'informations, reportez-vous au manuel NetIQ DRA Log Archive Resource Kit Technical Reference (Référence technique du kit NetIQ DRA LARK).

16.2.2 Sauvegarde des fichiers d'archivage des journaux

Un fichier d'archivage des journaux est une collection de blocs d'enregistrement. Étant donné que les fichiers d'archivage des journaux sont des fichiers binaires compressés qui se trouvent en dehors d'une base de données physique, il est inutile d'utiliser Microsoft SQL Server Management Studio pour sauvegarder les archives de journaux. Si vous disposez d'un système de sauvegarde automatique de fichiers, vos fichiers d'archivage des journaux sont sauvegardés automatiquement comme n'importe quel autre fichier.

Tenez compte des meilleures pratiques suivantes lorsque vous planifiez votre stratégie de sauvegarde :

16.2.3 Modification des paramètres de nettoyage des archives de journaux

Lorsque vous installez DRA, le nettoyage des archives de journaux est désactivé par défaut. Lorsque vous établissez des procédures régulières de sauvegarde des fichiers d'archivage des journaux, vous devez activer le nettoyage de l'archivage des journaux pour économiser de l'espace disque. Vous modifiez le nombre de jours avant le nettoyage des partitions d'archivage des journaux à l'aide de l'utilitaire de configuration de l'archivage des journaux.

17.1.1 Affichage de l'état des collecteurs

Vous pouvez afficher les détails de chaque collecteur de données sous l'onglet Collectors Status (État des collecteurs).

17.1.2 Activation de la création de rapports et de la collecte des données

Après avoir installé les composants DRA Reporting, activez et configurez la collecte des données de création de rapports pour accéder aux rapports NetIQ Reporting Center.

Pour plus d'informations sur la configuration des collecteurs spécifiques, reportez-vous à la section Configuration de la création de rapports.

17.2.1 Création de rapports sur les modifications des objets

Vous pouvez afficher les informations de modification en temps réel des objets de vos domaines en générant des rapports de détail des activités. Par exemple, vous pouvez afficher une liste des modifications apportées à un objet ou par un objet au cours d'une période spécifiée. Vous pouvez également exporter et imprimer les rapports de détail des activités.

17.2.2 Création de rapports sur les listes des objets

Vous pouvez exporter ou imprimer les données des listes des objets. Cette fonctionnalité vous permet de créer rapidement et facilement des rapports sur les informations générales relatives à vos objets gérés et de distribuer ces informations.

Lorsque vous exportez une liste d'objets, vous pouvez spécifier l'emplacement du fichier, son nom et son format. DRA prend en charge les formats XML, CSV et HTML, de sorte que vous pouvez exporter ces informations dans des applications de base de données ou publier les résultats sur une page Web.

17.2.3 Création de rapports sur les détails des objets

Vous pouvez exporter ou imprimer les données des onglets Détails qui répertorient les attributs des objets tels que les adhésions aux groupes. Cette fonctionnalité vous permet de créer rapidement et facilement des rapports sur les informations nécessaires concernant des objets spécifiques et de les distribuer souvent.

Lorsque vous exportez les informations d'un onglet de détails d'objet, vous pouvez spécifier l'emplacement du fichier, son nom et son format. DRA prend en charge les formats XML, CSV et HTML, de sorte que vous pouvez exporter ces informations dans des applications de base de données ou publier les résultats sur une page Web.