I. Présentation

Pour simplifier la gestion des comptes, surtout lorsqu’il y en a en grand nombre, il peut-être intéressant de déléguer certaines tâches à une personne de confiance au sein de la société. Par exemple, pour activer ou désactiver des comptes, notamment pour des comptes temporaires ou utilisé occasionnellement.

Il faut alors que l’utilisateur qui doit réaliser ces tâches au sein de votre annuaire puisse activer ou désactiver des comptes utilisateurs, pour cela la délégation est capable de lui donner ces autorisations, ni plus, ni moins. C’est ce que nous allons voir ensemble dans ce tutoriel sur l’Active Directory.

La délégation de contrôle permet de donner l’accès à certains actions de manière fine, on pourrait aussi donner l’accès uniquement à la création des utilisateurs, la modification d’un champ particulier, la possibilité de réinitialiser les mots de passe, etc…

Qu’il n’y en a pas un qui me dise qu’il donne la main en accès complet sur son AD après avoir lu cet article !

II. Créer la délégation

Ouvrez la console « Utilisateurs et ordinateurs Active Directory » puis, commencez par effectuer un clic droit sur l’unité d’organisation sur lequel vous souhaitez appliquer la délégation et cliquez sur « Délégation de contrôle…« .

Ajouter l’utilisateur auquel vous souhaitez donner le droit d’activer/désactiver les utilisateurs, s’il y a plusieurs utilisateurs qui doivent profiter de la délégation, je vous conseille de créer un groupe avec un nom spécifique, d’ajouter ensuite ce groupe dans la délégation. Il suffira d’ajouter les utilisateurs à ce groupe pour les faire profiter de la délégation, ça évitera de devoir la modifier si vous voulez ajouter un utilisateur supplémentaire par la suite.

Nous n’allons pas utiliser une des règles de bases proposées, on sélectionne donc « Créer une tâche personnalisée à déléguer« .

On va limiter les actions sur les utilisateurs seulement, autant limiter au maximum. On coche « Seulement des objets suivants dans le dossier » et ensuite « Objets Utilisateur« .

Affichez les autorisations spécifiques aux propriétés pour avoir une liste détaillée, et cochez ces deux autorisations : « Lire userAccountControl » et « Ecrire userAccountControl« . Dans un objet utilisateur, c’est cette propriété qui prend un code comme valeur pour indiquer l’état de l’utilisateur, vous pouvez le vérifier avec l’éditeur d’attributs dans les propriétés d’un utilisateur.

Cliquez sur suivant et validez la création de la délégation. Il ne reste plus qu’à tester avec un compte utilisateur qui bénéficie de la délégation, d’ailleurs vous pouvez lui installer sur son poste la console « Utilisateurs et ordinateurs Active Directory » via les outils RSAT, comme ça, il n’a pas besoin de se connecter sur le contrôleur de domaine.