I. Présentation
Je vous rappelle que, par défaut, lorsque l'on crée un domaine Active Directory, tous les utilisateurs ont le droit d'ajouter 10 machines dans le domaine. Cela est possible sans avoir besoin d'être "Admin du domaine", enfin il faut tout de même être admin de la machine.
Il y a plusieurs années, je vous proposait un article pour corriger cela et restreindre l'ajout de machines à qui de droit : Restreindre l'ajout de machines au domaine. Si cela n'est pas corrigé au sein de votre domaine, je vous encourage à réaliser la modification.
Pour compléter cet article, je vous propose de voir comment déléguer l'ajout d'ordinateurs au domaine. Cela est utile pour autoriser un compte utilisateur spécifique à ajouter des ordinateurs au domaine, ce qui pourrait être le compte utilisé par votre serveur de déploiement MDT pour la jonction au domaine.
II. Procédure - déléguer l'ajout d'ordinateurs au domaine
Commencez par ouvrir la console "Users and Computers Active Directory" (Utilisateurs et ordinateurs Active Directory). Imaginons que l'on souhaite tout simplement autoriser l'ajout d'ordinateurs dans l'OU "Computers", effectuez un clic droit dessus et cliquez sur "Delegate Control" (Délégation de contrôle).
Note : la délégation doit être réalisée sur chacune des OU au sein desquels l'utilisateur doit pouvoir créer des objets ordinateurs. Il faut être le plus précis et le plus restrictif possible par mesure de sécurité.
Ajoutez le compte utilisateur pour lequel vous souhaitez ajouter l'autorisation, ou autrement dit, déléguer le droit. Il est tout à fait possible d'utiliser un groupe de sécurité.
Nous allons créer une délégation spécifique, choisissez "Create a custom task to delegate".
Cochez la case "Only the following objectifs in the folder" pour autoriser uniquement la création d'objets de type "ordinateurs" nous choisirons ensuite "Computer objects". Enfin, cochez "Create selected objects in this folder" pour autoriser la création de objets de ce type.
Au niveau des permissions à déléguer, il est nécessaire de cocher "General" et "Creation/deletion of specific child objects", puis la permission "Create All Child Objects".
Maintenant que nous avons indiqué l'utilisateur à qui attribuer les droits, que l'on a indiqué précisément les droits à lui déléguer, il ne reste plus qu'à valider 😉
Vous l'aurez compris, il faut répéter cette action si vous souhaitez déléguer les droits pour cet utilisateur sur d'autres unités d'organisation.