Active Directory : déléguer la gestion des mots de passe utilisateur


Windows Server 2012R2 Windows Server 2016 Windows Server 2019

Dans ce tutoriel, je vais vous expliquer comment configurer la délégation des mots de passe à un groupe d’utilisateurs défini sur une OU précise.

Ce type de délégation est intéressante à mettre en place afin, cela permet d’éviter de donner « trop » de droits à des utilisateurs, notamment quand on souhaite donner au équipe support de niveau 1, la gestion de certaines tâches basiques sur un domaine Active Directory.

Avant de commencer, je vous conseille de créer un groupe de sécurité que l’on va utiliser pour les droits de délégation sur les mots de passe et d’ajouter les utilisateurs dedans.

Configuration de la délégation pour changer les mots de passe

Ici je vais utiliser le groupe : GL_DELEG_USERS_MANAGEMENT_PASSWORD

Sur l’Unité d’Organisation (OU) où vous souhaitez configurer la délégation, faire un clic droit dessus et cliquer sur Délégation de contrôle 1.

Au lancement de l’assistant, cliquer sur Suivant 1.

La première étape, c’est d’indiquer à qui l’on souhaite accorder la délégation, cliquer sur le bouton Ajouter 1.

Chercher le groupe 1 puis cliquer sur le bouton OK 2 pour l’ajouter.

Select group AD for delegation

Le groupe de sécurité est sélectionné, cliquer maintenant sur le bouton Suivant 1.

Maintenant, on va sélectionner la délégation que l’on souhaite, la gestion des mots de passe étant une tâche courante, on la retrouve dans la liste proposé, cocher la case Réinitialiser les mots de passe utilisateur et forcer le changement de mot de passe 1 puis cliquer sur le bouton Suivant 2.

On arrive à la fin de l’assistant avec un résumé de ce l’on souhaite appliquer. Cliquer sur le bouton Terminer 1 pour configurer la délégation de droit et fermer l’assistant.

Les utilisateurs membrent du groupe, peuvent maintenant gérer les mots de passe utilisateur.

Comment accéder à la console Utilisateurs et ordinateurs Active Directory

Maintenant se pose la question de comment accéder à la consoler Utilisateurs et ordinateurs Active Directory.

Pour exécuter la console Utilisateurs et ordinateurs Active Directory, il est nécessaire d’avoir une élévation de droit Administrateur, il n’est donc pas possible de donner les droits sur le contrôleur de domaine, car il faut mettre l’utilisateur Administrateur et il aura donc tous les droits, ce qui est contre productif.

Il y a pour cela deux solutions :

  • Installer les outils RSAT sur l’ordinateur des utilisateurs membres du groupe
  • Créer un serveur de management et installer les outils RSAT dessus.

Personnellement je préfère la seconde solutions même si les utilisateurs doivent être administrateur local du serveur pour lancer les différentes consoles, ceci permet d’être dans un environnement « maitriser » contrairement à l’ordinateur « personnel » de travail.

Les droits de sécurité ajoutés par la délégation

Pour compléter ce tutoriel, je vous propose de voir ce que l’assistant à ajouter comment droits sur l’Unité d’Organisation.

Ouvrir les propriétés de l’OU (cliquer droit dessus / Propriétés) et aller sur l’onglet Sécurité.

Dans l’onglet sécurité, on retrouve bien notre groupe que nous avons sélectionné lors de la configuration de la délégation et on peut voir que l’on a des autorisations spéciales de configurer.

Pour voir les autorisations spéciales, cliquer sur le bouton Avancé.

Depuis les Paramètres de sécurité avancés, on peut voir que plusieurs accès ont été de configurés et notamment un accès qui permet la réinitialisation du mot de passe.

Vous pouvez cliquer ensuite sur le bouton Modifier pour aller avoir de plus près les autorisations.


Vous savez maintenant comment déléguer à un groupe d’utilisateurs la gestion des mots des passe.




Laisser un commentaire