Empêcher et Déléguer l’ajout d’Ordinateurs au Domaine AD

L’Active Directory autorise tous les utilisateurs du domaine à intégrer 10 ordinateurs dans le domaine. Ce quota est défini par l’attribut « ms-DS-MachineAccountQuota »

Il est recommandé de révoquer cette permission aux utilisateurs standards afin que cela soit permis, par délégation, uniquement aux administrateurs ou utilisateurs d’un groupe spécifique.

Créer un groupe de sécurité Active Directory et ajouter le(s) utilisateur(s) qui doivent pouvoir joindre les postes clients au Domaine (Ils ne doivent pas être « Admins du domaine » ou dans un groupe à haut privilège)

  • Pour l’exemple, je crée un groupe nommé « Admins PC Locaux«

Gestionnaire de Serveur > Outils > Modification ADSI

Clic droit > Connexion

Mode « Contexte d’attribution de noms par défaut »

Clic droit sur la racine de votre domaine > Propriétés

Liste des attributs > « ms-DS-MachineAccountQuota » > Modifier la valeur > 0

Sur un poste client, j’utilise un compte Utilisateur du Domaine pour joindre le PC au Domaine

Impossible de joindre le Domaine > le quota est dépassé

Déléguer l’ajout d’ordinateurs au domaine a un compte ou groupe d’utilisateurs

Console Active Directory > Domaine > Computers > Délégation de contrôle…

Ajouter le Groupe de Sécurité crée précédemment

Note : Il est possible d’ajouter un Utilisateur du Domaine

Sélectionner : Créer une tache personnalisée a déléguer

  • Sélectionner : Seulement des objets suivants dans le dossier
  • Cocher : Objets Ordinateur
  • Cocher : Créer les objets sélectionnés dans ce dossier

  • Cocher : Générales
  • Cocher : Création / suppression d’objets enfants spécifiques
  • Cocher : Créer tous les objets enfants

Terminer > pour l’ajout d’un Groupe

Terminer > pour l’ajout d’un Utilisateur

Vérification des droits de sécurités

Affichage > Fonctionnalités avancées

Propriétés de l’OU Computers

Onglet Sécurité > Le Groupe (et ou l’Utilisateur) est bien présent avec des autorisations spéciales

Détail avancé des autorisations

Sur un poste client, j’utilise un compte Utilisateur du Domaine autorisé pour joindre le PC au Domaine

Résultat

 

Nombre de Vues : 124