Délégation de contrôle Active Directory

Dans certaines organisations, il arrive que le besoin de déléguer certaines opérations à des personnes ne faisant pas partie de l’IT ou de séparer les rôles de l’IT se présente. En général il s’agit de déléguer une opération spécifique de l’administration d’un environnement, comme :

-          réinitialiser un mot de passe, par exemple pour les chefs de service

-          ajouter des postes à un domaine, pour l’équipe qui gère le déploiement des postes.

Il est possible au niveau Active Directory de déléguer certaines opérations sans être obligé de mettre des droits étendus.

Dans le premier exemple nous allons déléguer le droit de modifier les mots de passe utilisateurs à « ydurand » depuis la console « Utilisateurs et Ordinateurs Active Directory » :

 

 

 

Dans ce 2ème exemple nous allons voir comment déléguer le droit de joindre un poste au domaine.

 

 

 

 

 

Nous allons voir ce que l’assistant « délégation de contrôle» a modifié. Pour cela nous allons dans les propriétés d’affichage sélectionné l’option « Fonctionnalités avancées ».

Une fois les fonctionnalités avancées activées, nous disposons d’un accès à l’onglet sécurité. Nous retrouvons l’utilisateur « pdupont » auquel nous avons attribué le droit d’ajouter un poste dans le domaine.

En regardant les détails nous constatons que l’utilisateur dispose de l’autorisation « créer des objets ordinateur » :

 

 

Dans un environnement de production il est recommandé de créer des délégations de droit sur des groupes plutôt que sur les utilisateurs. Ceci permet de simplifier la gestion, lorsque des personnes changent de poste.

 

Commentaires

deleguation

Bonjour

est il possible de deleguer la creation et modification de compte ad . en gros je souhaiterais qu'un groupe puisse creer des compte ajouter des groupe de securité ect mais ne puisse pas supprimer de compte .

RE :deleguation

Oui il est possible d'affiner la gestion des droits. L'assistant pour la délégation modifie les permissions dans la partie sécurité, il est également possible de les modifier directement dans la partie sécurité si l'assistant ne propose pas de scénario à votre question.

RE :deleguation

Oui il est possible d'affiner la gestion des droits. L'assistant pour la délégation modifie les permissions dans la partie sécurité, il est également possible de les modifier directement dans la partie sécurité si l'assistant ne propose pas de scénario à votre question.

Delegation

Peut-on déléguer à un groupe faisant partie d'une autre forêt?

Re : Delegation

Bonjour,
Il est possible de créer une délégation pour un utilisateur ou un groupe depuis un autre domaine s'il existe une approbation entre les 2 domaines. C'est le cas par exemple d'une forêt AD ou l'ensemble des domaines s'approuvent automatiquement.
Mais attention à la portée des groupes comme par exemple les groupes de domaines locaux qui ne peuvent être vus dans les autres domaines.

Délégation

Est -il possible de déléguer l'administration en totalité d'un domaine à une autre forêt/domaine dédiée à l'administration( c'est à dire forêt contenant seulement des comptes dédiés à l'administration des comptes utilisateurs ,des OU,des GPO,des ressources...)

Délégation

Est -il possible de déléguer l'administration en totalité d'un domaine à une autre forêt/domaine dédiée à l'administration( c'est à dire forêt contenant seulement des comptes dédiés à l'administration des comptes utilisateurs ,des OU,des GPO,des ressources...)

Re : Délégation

Lorsque tu délègues un droit dans l'annuaire Active directory celui-ci ne vaut que pour l'accès à l'annuaire. Tu remarqueras la portée du groupe "admins du domaine" ne permet pas d'ajouter de compte d'autres domaines. Tu peux ajouter un compte d'un domaine approuvé dans le groupe "Administrateurs" du contrôleur de domaine. Cet utilisateur aura des droits d'administration sur l'ensemble des contrôleurs de domaine, mais ne sera pas administrateur des postes de travail. Bien sûr il est possible de créer une GPO qui ajoute ton compte administrateur du domaine approuvé en tant que membre administrateur des postes locaux.

A noter : Windows 2016 introduit une nouvelle fonctionnalité "Privileged Access management....