Professional Documents
Culture Documents
Objectifs :
- Voir les autorisations Active Directory
- Déléguer le contrôle de la gestion des utilisateurs d’une UO.
Conditions préalables :
Autoriser Windows1 à ouvrir une session localement sur le contrôleur de domaine
- stratégie du contrôleur de domaine
o forcer la mise à jour par secedit /refreshpolicy machine_policy
Scénario
Avant de déléguer l’administration, on vérifie la liste des autorisations.
Tâches
- Lancer la console Utilisateurs et Ordinateurs Active Directory
- Dans le menu Affichage, cliquez sur Fonctionnalités avancées
- Sélectionner avec le bouton droit UO Systeme et l’option propriétés
- Vérification des autorisations sur UO Windows
- On observe les autorisations des groupes standards
- On observe ensuite les autorisations « Avancé »
Scénario
L’utilisateur Windows1 est désigné comme responsable des comptes de l’UO Windows.
Il doit pouvoir créer, supprimer et gérer les comptes.
Tâches
- Sur le premier contrôleur du domaine
- Lancer la console Utilisateurs et Ordinateurs Active Directory
- Cliquez sur Windows, puis sur Délégation de contrôle : l’assistant est lancé.
- Dans la page Utilisateurs ou groupes, cliquez sur Ajouter
- Sélectionner l’utilisateur Windows1
- Dans la page Tâches à déléguer, cliquez sur l’option Crée, supprime et gère les
comptes d’utilisateurs.
NOTA : Il est très conseillé d’enregistrer la nature des contrôles délégués ; il est en effet très
difficile de retrouver à qui et quels contrôles sont délégués sur quel UO.
On peut par exemple , sélectionner le contenu de la fenêtre et le copier dans un fichier
texte.
def.fr/Systeme/Windows
windows1 (windows1@def.fr)
NOTA : il est fortement déconseillé de modifier les autorisations directement dans cette
console ; l’impact des autorisations n’est pas facilement identifiable.
Scénario
L’utilisateur Unix1 est responsable de la mise à jour des adresses des utilisateurs de l’UO Unix.
Tâches
- Sur le deuxième contrôleur du domaine
- Lancer la console Utilisateurs et Ordinateurs Active Directory
- Cliquez sur Unix, puis sur Délégation de contrôle : l’assistant est lancé.
- Dans la page Utilisateurs ou groupes, cliquez sur Ajouter
- Sélectionner l’utilisateur unix1
- Dans la page Tâches à déléguer, cliquez sur l’option Créer une tâche personnalisée.
Conclusion
Il est difficile de supprimer la délégation accordée à un utilisateur ; il existe en faite 2 solutions :
- supprimer son compte de la DACL de l’UO concernée : même si l’on rajoute cet
utilisateur dans la liste DACL, la délégation n’aur pas lieu ; il faut à nouveau utiliser
l’assitant de délégation.
- Déléguer les tâches à un groupe : il suffit ensuite d’insérer ou retirer l’utilisateur du
groupe concerné.
On aura tout intérêt à utiliser les groupes pour accorder la délégation.
On peut ajouter des tâches déléguées à un utilisateur auquel on a déjà déléguer l’administration ;
cependant, ce ou ces utilisateurs n’apparaissent pas dans une liste quelconque.
Les utilisateurs windows1 et unix1 peuvent gérer, dans une certaine mesure, les comptes des UO
Windows ou Unix.
Cependant, il doivent ouvrir une session sur le contrôleur du domaine pour effectuer cette
administration : ceci est inacceptable.
On doit dont donc mettre à disposition des utilisateurs spéciaux un outil dédié : c’est la console.