[AD DS Sécurité] Délégué l’administration de l’annuaire

Dans la gestion quotidienne des comptes de l'annuaire Active Directory, il n'est pas recommandé d'utiliser systématiquement des comptes membre de « Admins du domaine ». Il est possible de déléguer ces opérations à des groupes d'utilisateurs spécifiques. Vous pouvez par exemple, limiter le droit de réinitialiser le mot de passe à une partie de l'équipe IT, vous pouvez également déléguer le droit de remplir certaines informations comme la fonction ou le service de l'utilisateur à l'équipe RH.

Nous allons, dans cet exemple, créer une délégation de droits pour un groupe « SDL-Gestionnaire-Comptes » lié à une unité d'organisation spécifique contenant les comptes des utilisateurs.

Ouvrez la console « Utilisateurs et Ordinateurs Active Directory » et créez un groupe pour les utilisateurs auquel vous souhaitez déléguer des autorisations.

Sur l'OU contenant les utilisateurs sur lesquels vous souhaitez déléguer l'administration, faites un clic droit puis « délégation de contrôle ».

Indiquez le groupe auquel vous accordez la délégation, puis suivant.

Sélectionner « Créer, supprimer et gérer les comptes d'utilisateurs » parmi les taches courantes. Si vous ne souhaitez que déléguer le droit de réinitialiser les mots de passe, sélectionnez « Réinitialiser les mots de passe de l'utilisateur et… », puis cliquez sur suivant.

 

Sur la page résumée, cliquez sur « Fermer ».

 

 

Si vous souhaitez déléguer la gestion des membres de vos groupes Active Directory, effectuez la même opération sur l'OU contenant vos groupes et déléguer les permissions :

  • Modifier l'appartenance à un groupe : si vous ne souhaitez pas autoriser les utilisateurs à créer de nouveaux groupes (en orange)
  • Créer supprimer et gérer tous les groupes : s'ils doivent disposer de toutes les autorisations sur les groupes (en vert)

Lorsque vous utilisez l'assistant de délégation de contrôle, celui-ci va modifier les permissions sur les objets de l'annuaire. Vous pouvez afficher les permissions effectives en affichant les fonctionnalités avancées de la console « Utilisateurs et Ordinateurs Active Directory » :

La partie « Sécurité » apparaîtra, et vous pouvez constater la présence du groupe sur lequel nous avons créé la délégation.

En cliquant sur « Avancé » vous pouvez constater que les autorisations ne s'appliquent qu'aux objets de type « Goupe ».

 

Nous venons de créer une délégation donnant toutes les autorisations sur les utilisateurs à notre groupe de l'IT en utilisant un modèle proposé par l'assistant.

Lorsque vous créer une délégation de droits, vous avez la possibilité de sélectionner plus finement les modifications que l'utilisateur peut faire. Par exemple si vous souhaitez autoriser les personnes des RH à modifier la fonction de l'utilisateur dans l'entreprise.

Pour cela, vous pouvez sélectionner une tache personnalisée sur la page « Tâches à déléguer ».

Sur la page « Type d'objet Active Directory », sélectionnez par exemple « Utilisateurs ». Dans notre exemple nous n'autorisons pas la création ou la suppression d'un utilisateur par l'équipe RH.

 

Sur la page « Autorisations », sélectionner l'option « Spécifique aux propriétés », puis dans la liste déroulante, sélectionnez les attributs que l'utilisateur peut modifier.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Theme: 

Systeme: 

Annee: