Active Directory : utiliser un compte pour déléguer la jonction des ordinateurs au domaine


Windows Server 2012R2 Windows Server 2016 Windows Server 2019

Dans ce tutoriel, je vais vous expliquer comment configurer la délégation de droits à un utilisateur pour la jonction des ordinateurs au domaine Active Directory.

Lorsque l’on utilise des outils de déploiement du type MDT ou SCCM, lors du déploiement de Windows, l’ordinateur est joint au domaine Active Directory, et pas solution de facilité, on a tendance à configurer un compte du groupe Admins du domaine pour faire cela.

En terme de sécurité ce n’est pas bon pour plusieurs raisons mais la principale, c’est que le mot de passe de se compte est disponible en clair sur le serveur MDT par exemple.

Pour palier à ce problème, on va voir comment comment configurer un compte utilisateur qui pourra joindre les ordinateurs dans le domaine. Sans cette délégation, un compte utilisateur du domaine standard peut joindre 10 ordinateurs.

Créer un utilisateur dédié

La première étape va être de créer un utilisateur dédié à la jonction des ordinateurs au domaine.

Ici j’ai créé un utilisateur qui a pour identifiant djoin dont le mot de passe n’expire pas.

L’utilisateur est prêt :

Configurer la délégation de droit pour la jonction au domaine

Ceci n’est pas obligatoire mais fortement recommandé, j’ai créé un Unité d’organisation (OU) nommé ComputersDeployment où les ordinateurs sont automatiquement déplacé dedans lors du déploiement.

Faire un clic droit à l’emplacement où vous souhaitez créer la délégation de droit et cliquer sur Délégation de contrôle 1.

Au lancement de l’assistant, cliquer sur le bouton Suivant 1.

Ajouter l’utilisateur 1 précédemment créé puis cliquer sur Suivant 2.

Par défaut, Microsoft ne propose de délégation courante pour la jonction des ordinateurs au domaine, sélectionner Créer une tâche personnalisée à déléguer 1 et cliquer sur le bouton Suivant 2.

Ensuite, sélectionner Seulement des objets suivants dans le dossier 1, dans la liste, cocher Objets Ordinateur 2, cocher également la case Créer les objets sélectionnées dans ce dossier 3 puis cliquer sur le bouton Suivant 4.

Maintenant, il faut sélectionner les autorisations nécessaires pour la jonction des ordinateurs au domaine, voici ce que vous devez cocher 1 :

  • Lire
  • Ecrire
  • Créer tous les objets enfants
  • Lire toutes les propriétés
  • Ecrire toutes les propriétés
  • Modifier le mot de passe
  • Réinitialiser le mot de passe
  • Ecriture validée vers le nom du principal du service
  • Ecriture validée vers le nom d’hôte DNS

Une fois les éléments sélectionnés, cliquer sur Suivant 2.

Valider la création de la délégation en cliquant sur Terminer 1.

La délégation est maintenant créer, pour comprendre ce qui vient d’être fait, on va aller voir les autorisations sur l’unité d’organisation, passer en affichage des fonctionnalités avancées (Affichage -> Fonctionnalités avancées).

Faire un clic droit sur l’emplacement où la délégation a été créée et cliquer sur Propriétés.

Aller en suite sur l’onglet Sécurité 1, on peut déjà voir l’utilisateur que l’on a ajouté 1. Cliquer sur le bouton Avancé 2.

On retrouve l’ensemble des autorisations de l’utilisateur djoin 1.

Pour fonctionner correctement, nous devons encore ajouter des autorisations, faire un double clic sur les autorisations Spéciale <1 pour les ouvrir.

Dans la liste, cocher modifier les autorisations 1 et cliquer sur OK 2.

Le compte et la délégation est maintenant prête.

Dans le tutoriel, comment j’ai créé une délégation sur une OU particulière, il faut configurer MDT ou SCCM afin que l’ordinateur joint au domaine se fasse dans celle-ci, sinon la jonction ne fonctionnera pas.

Si vous faites des audits de votre annuaire avec des outils dédiés, il est possible que des alertes remontes sur les objets ordinateurs car ils n’auront pas le bon propriétaire, le propriétaire de l’objet sera l’utilisateur utilisé (ici djoin). Pour corriger le problème, je vous invite à lire cette page : Active Directory : changer le propriétaire d’objet en masse.

Solution alternative à la délégation

Une alternative existe pour arriver au même résultat, je ne vais pas rentrer dans le détail ici, mais voici les grandes lignes :

  1. Créer un utilisateur dédié à la jonction des ordinateurs au domaine.
  2. Augmenter le nombre d’ordinateur que les utilisateurs non membre du groupe Admins du domaine peuvent joindre au domaine.
  3. Configurer le domaine pour autoriser seulement la jonction d’ordinateurs au groupe Admins du domaine et l’utilisateur créé précédemment.

Vous savez maintenant comment faire pour ne plus utiliser de compte Administrateurs du domaine pour joindre des ordinateurs au domaine Active Directory de votre entreprise.




Laisser un commentaire