Active Directory : déléguer l’ajout d’ordinateurs au domaine

09/01/202017/07/2023 Florian BURNEL 8711 Views 2 Commentaires Active Directory, Délégation, Windows Server 2 min read

I. Présentation

Je vous rappelle que, par défaut, lorsque l'on crée un domaine Active Directory, tous les utilisateurs ont le droit d'ajouter 10 machines dans le domaine. Cela est possible sans avoir besoin d'être "Admin du domaine", enfin il faut tout de même être admin de la machine.

Il y a plusieurs années, je vous proposait un article pour corriger cela et restreindre l'ajout de machines à qui de droit : Restreindre l'ajout de machines au domaine. Si cela n'est pas corrigé au sein de votre domaine, je vous encourage à réaliser la modification.

Pour compléter cet article, je vous propose de voir comment déléguer l'ajout d'ordinateurs au domaine. Cela est utile pour autoriser un compte utilisateur spécifique à ajouter des ordinateurs au domaine, ce qui pourrait être le compte utilisé par votre serveur de déploiement MDT pour la jonction au domaine.

II. Procédure - déléguer l'ajout d'ordinateurs au domaine

Commencez par ouvrir la console "Users and Computers Active Directory" (Utilisateurs et ordinateurs Active Directory). Imaginons que l'on souhaite tout simplement autoriser l'ajout d'ordinateurs dans l'OU "Computers", effectuez un clic droit dessus et cliquez sur "Delegate Control" (Délégation de contrôle).

Note : la délégation doit être réalisée sur chacune des OU au sein desquels l'utilisateur doit pouvoir créer des objets ordinateurs. Il faut être le plus précis et le plus restrictif possible par mesure de sécurité.

Ajoutez le compte utilisateur pour lequel vous souhaitez ajouter l'autorisation, ou autrement dit, déléguer le droit. Il est tout à fait possible d'utiliser un groupe de sécurité.

Nous allons créer une délégation spécifique, choisissez "Create a custom task to delegate".

Cochez la case "Only the following objectifs in the folder" pour autoriser uniquement la création d'objets de type "ordinateurs" nous choisirons ensuite "Computer objects". Enfin, cochez "Create selected objects in this folder" pour autoriser la création de objets de ce type.

Au niveau des permissions à déléguer, il est nécessaire de cocher "General" et "Creation/deletion of specific child objects", puis la permission "Create All Child Objects".

Maintenant que nous avons indiqué l'utilisateur à qui attribuer les droits, que l'on a indiqué précisément les droits à lui déléguer, il ne reste plus qu'à valider ?

Vous l'aurez compris, il faut répéter cette action si vous souhaitez déléguer les droits pour cet utilisateur sur d'autres unités d'organisation.

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5558.Voir tous les posts

2 thoughts on “Active Directory : déléguer l’ajout d’ordinateurs au domaine”

paul
10/01/2020 à 08:55
Permalink

Bonjour, j’ai une question sur la gestion des domaines Windows: Mon pc est lié à un nom de domaine Windows Server 2016 (nom du domaine: IPO.LOCAL) dans un bâtiment A. Pensez-vous que si je met en place le même serveur de domaine avec le même nom de domaine IPO.LOCAL dans un bâtiment B, mon pc pourrait se connecter ? Avec mon nom d’utilisateur d’un côté comme de l’autre.
Répondre
Jean
21/12/2023 à 12:14
Permalink

Bonjour, Est-ce que l’utilisateur qui a cette délégation de contrôle a une limite en nombre à l’ajout ? Comment le voir ? Merci
Répondre