Service
Cette section regroupe les paramètres liés aux notifications envoyées par le service UserLock et au compte de dépersonnalisation utilisé pour les opérations nécessitant des privilèges élevés.
Note
Pour accéder à cette page, allez dans Paramètres du serveur ▸ Service.
Vous devez disposer d’au moins une autorisation de lecture sur les paramètres du serveur pour afficher cette page.
Les notifications aident les administrateurs à surveiller proactivement la santé et la configuration de UserLock.
Elles offrent une visibilité immédiate sur les événements critiques, sans devoir se reposer uniquement sur l’analyse périodique des journaux.
Vous pouvez configurer deux types d’alertes e-mail :
Envoyées en cas de problèmes opérationnels ou de licence, par exemple :
Expiration de licence ou dépassement du nombre d’utilisateurs autorisés
Problèmes de disponibilité du service
Alertes serveur générales
Configurez les destinataires dans le champ Adresses e-mail pour les alertes serveur.
Laissez vide si vous ne souhaitez pas recevoir ces notifications.
Envoyées lorsque des opérateurs modifient la configuration de UserLock, comme :
Modification des permissions
Édition des propriétés du serveur
Changement des stratégies d’accès ou des messages
Mise à jour des paramètres de distribution des agents
Ces actions sont toujours consignées dans :
le journal des événements Windows (UserLock Admin Actions dans la section Applications and Services Logs),
la base de données UserLock (voir Rapports d’administration).
Par défaut, le service UserLock s’exécute avec le compte intégré Network Service (principe du moindre privilège).
Cependant, certaines opérations nécessitent des droits plus élevés. C’est pourquoi l’assistant de configuration demande un compte de dépersonnalisation disposant des privilèges nécessaires.
Ce compte est utilisé par le service pour :
Déployer tous les types d’agents
Appliquer les règles de contrôle d’accès (verrouillage/déconnexion de sessions)
Effectuer les déconnexions automatiques via l’option Fermer les sessions illégitimes
Réaliser des opérations système à la demande (verrouillage/déconnexion/arrêt/redémarrage des machines)
Synchroniser les serveurs Principal et de Sauvegarde
Établir les connexions à la base de données en mode authentification Windows
Cette section affiche les informations d’identification saisies lors de l’étape correspondante de l’assistant de configuration, et vous permet de les modifier si nécessaire.
À chaque modification, un test est automatiquement exécuté sur les identifiants fournis. En cas de problème, un message d’erreur s’affiche sous le champ mot de passe.
Note
Aucune modification n’est effectuée sur votre Active Directory ni sur son schéma.
Le compte d’emprunt d’identité est utilisé uniquement par le service UserLock. Les agents Desktop s’exécutent toujours en tant que compte Local SYSTEM.
Le compte <domaine>\<Nom_du_serveur_UserLock>$ doit disposer d’un droit de lecture sur les objets utilisateurs et ordinateurs dans Active Directory.
Le compte de dépersonnalisation doit être autorisé à se connecter en tant que service. Avant de modifier ce paramètre, connectez-vous au serveur UserLock, ouvrez Stratégie de sécurité locale (secpol.msc), allez dans Stratégies locales > Attribution des droits d'utilisateur, et vérifiez que le compte cible est dans la liste Ouvrir une session en tant que service et qu’il n’est pas dans la liste Interdire l’ouverture de session en tant que service.
Configurez toujours les alertes serveur : ne laissez jamais les champs de notification vides, sinon vous risquez de manquer une expiration de licence ou une panne de service.
Utilisez un compte de dépersonnalisation dédié, limité aux droits nécessaires (évitez d’utiliser un compte administrateur de domaine personnel).