15/11/2024

Active Directory

Active Directory : Déléguer la désactivation des utilisateurs

I. Présentation

Pour simplifier la gestion des comptes, surtout lorsqu'il y en a en grand nombre, il peut-être intéressant de déléguer certaines tâches à une personne de confiance au sein de la société. Par exemple, pour activer ou désactiver des comptes, notamment pour des comptes temporaires ou utilisé occasionnellement.

Il faut alors que l'utilisateur qui doit réaliser ces tâches au sein de votre annuaire puisse activer ou désactiver des comptes utilisateurs, pour cela la délégation est capable de lui donner ces autorisations, ni plus, ni moins. C'est ce que nous allons voir ensemble dans ce tutoriel sur l'Active Directory.

La délégation de contrôle permet de donner l'accès à certains actions de manière fine, on pourrait aussi donner l'accès uniquement à la création des utilisateurs, la modification d'un champ particulier, la possibilité de réinitialiser les mots de passe, etc...

Qu'il n'y en a pas un qui me dise qu'il donne la main en accès complet sur son AD après avoir lu cet article ! 😉

II. Créer la délégation

Ouvrez la console "Utilisateurs et ordinateurs Active Directory" puis, commencez par effectuer un clic droit sur l'unité d'organisation sur lequel vous souhaitez appliquer la délégation et cliquez sur "Délégation de contrôle...".

ad-account-delegation-1

Ajouter l'utilisateur auquel vous souhaitez donner le droit d'activer/désactiver les utilisateurs, s'il y a plusieurs utilisateurs qui doivent profiter de la délégation, je vous conseille de créer un groupe avec un nom spécifique, d'ajouter ensuite ce groupe dans la délégation. Il suffira d'ajouter les utilisateurs à ce groupe pour les faire profiter de la délégation, ça évitera de devoir la modifier si vous voulez ajouter un utilisateur supplémentaire par la suite.

ad-account-delegation-2

Nous n'allons pas utiliser une des règles de bases proposées, on sélectionne donc "Créer une tâche personnalisée à déléguer".

ad-account-delegation-3

On va limiter les actions sur les utilisateurs seulement, autant limiter au maximum. On coche "Seulement des objets suivants dans le dossier" et ensuite "Objets Utilisateur".

ad-account-delegation-4

Affichez les autorisations spécifiques aux propriétés pour avoir une liste détaillée, et cochez ces deux autorisations : "Lire userAccountControl" et "Ecrire userAccountControl". Dans un objet utilisateur, c'est cette propriété qui prend un code comme valeur pour indiquer l'état de l'utilisateur, vous pouvez le vérifier avec l'éditeur d'attributs dans les propriétés d'un utilisateur.

ad-account-delegation-5

Cliquez sur suivant et validez la création de la délégation. Il ne reste plus qu'à tester avec un compte utilisateur qui bénéficie de la délégation, d'ailleurs vous pouvez lui installer sur son poste la console "Utilisateurs et ordinateurs Active Directory" via les outils RSAT, comme ça, il n'a pas besoin de se connecter sur le contrôleur de domaine.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Active Directory : Déléguer la désactivation des utilisateurs

  • Bonjour
    je suis un techncien en informatique et parmis mes taches gestion des utilisateurs AD,je suis membre du groupe operateur du domaine,donc je peux reinitialiser les mots de passe pour les usagers et modefier leurs profil AD
    mon problème c que j ai des usagers que je peux pas gerer leurs profil(réinitialiser leurs mot de passe ,adresse,numero tel….)

    j ai besoin de votre aide

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.