Afin de me facilité la vie lors du déploiement d’une salle informatique, j’utilise un script qui va automatiquement modifier les serveurs DNS et joindre les PC au domaine.
Les identifiants de l’utilisateur du domaine utilisé dans ce script étant en clair, je n’utilise pas l’identifiant Administrateur. J’ai donc créé un utilisateur pour réaliser cette tâche. Problème, comment faire pour qu’il est le droit de joindre des ordinateurs au domaine, sachant que si je l’intègre dans le groupe « Admins du domaine », cela revient à mettre l’identifiant de l’utilisateur Administrateur dans le script ? Simplement en créant une délégation de contrôle au niveau de l’OU « Computers ».
Dans un premier temps, créer un utilisateur sans aucun droit au niveau de l’AD (juste « Utilisateur du domaine »). Dans mon exemple, j’ai créé « AddAD ».
Puis sur l’OU « Computers », faire un clic droit et choisir Délégation de contrôle.
Cliquez sur Suivant à la première fenêtre de l’assistant. Sur la deuxième, cliquez sur le bouton Ajouter et indiquer l’utilisateur « AddAD ».
Sélectionnez Créer une tâche personnalisée à déléguer puisque la tâche de création d’objet ordinateurs n’est pas disponible ici.
Comme on autorise uniquement la création d’objets ordinateurs pour cet utilisateur, on choisi Objets Ordinateurs puis Créer les objets sélectionnés dans ce dossier.
Pour les autorisations, vérifiez que Générales soit coché, puis choisir Ecrire. La case Spécifiques aux propriétés va se cocher toute seule.
Enfin, cliquez sur Terminer.
Vous venez d’autoriser un utilisateur de l’AD à ajouter les ordinateurs sur le domaine sans dévoiler votre mot de passe Administrateur.