www.it-connect.

fr
/active-directory-deleguer-la-desactivation-des-utilisateurs/

Active Directory : Déléguer la désactivation des utilisateurs

Florian Burnel ⋮ ⋮ 15/09/2016

I. Présentation
Pour simplifier la gestion des comptes, surtout lorsqu'il y en a en grand nombre, il peut-être intéressant
de déléguer certaines tâches à une personne de confiance au sein de la société. Par exemple, pour
activer ou désactiver des comptes, notamment pour des comptes temporaires ou utilisé
occasionnellement.

Il faut alors que l'utilisateur qui doit réaliser ces tâches au sein de votre annuaire puisse activer ou
désactiver des comptes utilisateurs, pour cela la délégation est capable de lui donner ces
autorisations, ni plus, ni moins. C'est ce que nous allons voir ensemble dans ce tutoriel sur l'Active
Directory.

La délégation de contrôle permet de donner l'accès à certains actions de manière fine, on pourrait aussi
donner l'accès uniquement à la création des utilisateurs, la modification d'un champ particulier, la
possibilité de réinitialiser les mots de passe, etc...

Qu'il n'y en a pas un qui me dise qu'il donne la main en accès complet sur son AD après avoir lu cet
article ! 😉
II. Créer la délégation
Ouvrez la console "Utilisateurs et ordinateurs Active Directory" puis, commencez par effectuer un clic
droit sur l'unité d'organisation sur lequel vous souhaitez appliquer la délégation et cliquez sur "Délégation
de contrôle...".

1/5
Ajouter l'utilisateur auquel vous souhaitez donner le droit d'activer/désactiver les utilisateurs, s'il
y a plusieurs utilisateurs qui doivent profiter de la délégation, je vous conseille de créer un groupe avec
un nom spécifique, d'ajouter ensuite ce groupe dans la délégation. Il suffira d'ajouter les utilisateurs à ce
groupe pour les faire profiter de la délégation, ça évitera de devoir la modifier si vous voulez ajouter un
utilisateur supplémentaire par la suite.

2/5
Nous n'allons pas utiliser une des règles de bases proposées, on sélectionne donc "Créer une tâche
personnalisée à déléguer".

3/5
On va limiter les actions sur les utilisateurs seulement, autant limiter au maximum. On coche "Seulement
des objets suivants dans le dossier" et ensuite "Objets Utilisateur".

Affichez les autorisations spécifiques aux propriétés pour avoir une liste détaillée, et cochez ces deux
autorisations : "Lire userAccountControl" et "Ecrire userAccountControl". Dans un objet utilisateur,
c'est cette propriété qui prend un code comme valeur pour indiquer l'état de l'utilisateur, vous pouvez le
vérifier avec l'éditeur d'attributs dans les propriétés d'un utilisateur.

4/5
Cliquez sur suivant et validez la création de la délégation. Il ne reste plus qu'à tester avec un compte
utilisateur qui bénéficie de la délégation, d'ailleurs vous pouvez lui installer sur son poste la console
"Utilisateurs et ordinateurs Active Directory" via les outils RSAT, comme ça, il n'a pas besoin de se
connecter sur le contrôleur de domaine.

5/5