Mettre en place une Délégation de contrôle
A quoi sert une délégation de contrôle ?
La délégation de contrôle permet d'octroyer à certains utilisateurs ou groupes des permissions spécifiques pour réaliser des tâches administratives ciblées, sans leur conférer des droits trop étendus.
Voici plusieurs exemples de types de délégations couramment mises en place :
Types de délégations courantes
1. Gestion des comptes utilisateurs :
- Réinitialisation des mots de passe et forcer le changement de mot de passe au prochain logon.
- Déverrouiller les comptes d'utilisateurs bloqués.
- Créer, modifier ou supprimer des comptes utilisateurs.
- Gérer les attributs utilisateurs spécifiques (par exemple, modifier la description, le numéro de téléphone, le département, etc.).
2. Gestion des groupes de sécurité et de distribution :
- Ajouter et retirer des utilisateurs dans des groupes existants.
- Créer, modifier ou supprimer des groupes.
- Modifier les propriétés (description, adresse de messagerie) des groupes.
3. Gestion des ordinateurs :
- Joindre des ordinateurs au domaine.
- Déplacer des comptes d'ordinateurs entre différentes unités d'organisation (UO).
- Réinitialiser des comptes d'ordinateurs.
4. Gestion des Unités d'Organisation (UO) :
- Créer ou supprimer des UO.
- Gérer la délégation au sein de ces UO (par exemple, permettre la création de nouveaux comptes dans une UO donnée).
5. Gestion des objets liés aux stratégies de groupe (GPO) :
- Lier ou délier des GPO à une UO.
- Modifier certaines configurations des GPO.
- Gérer l'héritage et le filtrage des GPO.
6. Gestion des ressources partagées et autres objets AD :
- Gestion des contacts et de leurs attributs.
- Gestion des imprimantes publiées dans Active Directory.
- Gestion de certaines classes d'objets personnalisés (si utilisées).
Exemple pratique : Délégation pour la réinitialisation de mots de passe
Prenons l'exemple de la délégation de contrôle visant à permettre de pouvoir réinitialiser les mots de passe de certains utilisateurs.
1. Ouvrir la console Utilisateurs et ordinateurs Active Directory.
2. Sélectionner l'Unité d'Organisation (UO)
- Repérez l'UO qui contient les comptes utilisateurs sur lesquels la délégation doit s'appliquer.
- Cliquez avec le bouton droit sur cette UO, puis choisissez "Délégation de contrôle..."
Remarque :
- La délégation s'applique sur l'UO sélectionnée et éventuellement sur les sous-UOs si l'héritage est activé.
- Il est généralement recommandé de créer un groupe dédié (par exemple "Password Reset Operators") et de déléguer les droits à ce groupe, plutôt que directement à un utilisateur. Ainsi, si vous ajoutez ou supprimez des personnes de ce groupe, elles obtiennent ou perdent automatiquement la délégation.
- Après la délégation, les membres du groupe ou l'utilisateur spécifié pourront réinitialiser les mots de passe des comptes présents dans l'UO sélectionnée (et ses enfants, selon l'héritage).