Le système Metasys exige que le compte de service Active Directory dispose d’un ensemble minimum d’autorisations. Cette section dresse la liste de ces autorisations, mais n’impose pas la manière de les appliquer. Il appartient au service informatique du client de déterminer leur application au moment de leur création. Ces autorisations sont les suivantes :
- accès en lecture seule à l’objet de domaine de chaque domaine contenant des utilisateurs du service Active Directory utilisant le système Metasys ;
- accès en lecture seule à chaque unité d’organisation contenant des utilisateurs du service Active Directory utilisant le système Metasys ;
- accès en lecture seule aux attributs de chaque objet d’utilisateur Active Directory, relatif aux utilisateurs du système Metasys ; ou accès en lecture uniquement aux attributs suivants des objets d’utilisateur (si un accès complet en lecture n’est pas accordé) :
- objectSID ;
- sAMAccountName ;
- displayName ;
- description ;
- mail ;
- userPrincipalName ;
- telephoneNumber ;
- userAccountControl.
-
mot de passe de compte de service sans date d’expiration (reportez-vous à la section Règles relatives aux comptes de service).
-
Le compte de service doit être capable d’accéder à tous les domaines contenant des utilisateurs du système Metasys afin d’effectuer des requêtes LDAP. Par exemple, une politique de sécurité des domaines ne peut pas empêcher les comptes d’accéder au contrôleur de domaine.