Permissions Active Directory pour joindre les ordinateurs au domaine


  • Share on Pinterest

Pour réaliser une jonction de domaine lors d’un déploiement vous devez appliquer les permissions suivantes sur un OU pour un compte ou groupe utilisateur. Souvent j’ai vu des comptes avec les permissions “Domain Admins”, mais cela représente une faille de sécurité. Ici je vous montre comment le faire pas à pas.

Scope: Cet objet et tous ceux descendants (This object and all descendant objects)

  • Créer des objects Ordinateur (Create Computer objects)
  • Suppr. des objects Ordinateur (Delete Computer objects)

Scope: Objets Ordinateur descendants (Descendant Computer objects)

  • Lire toutes les propriétés (Read All Properties)
  • Ecrire toutes les propriétés (Write All Properties)
  • Autorisations de lecture (Read Permissions)
  • Modifier les autorisations (Modify Permissions)
  • Ecriture validée vers le nom d’hôte DNS (Validated write to DNS host name)
  • Ecriture validée vers le nom principal (Validated write to service principal name)
  • Modifier le mot de passe (Change Password)
  • Réinitialiser le mot de passe (Reset Password)

Configuration des permissions pour joindre un OU Workstations

  1. Dans Active Directory User and Computers, autoriser le compte de service JoinAccount pour gerer les objets Computer sur l’OU Workstations.
  2. Dans les propriétés de l’OU Workstations, sélectionner l’onglet Security puis cliquer sur Advanced.
  3. Sur la fenetre Advanced Security Setting for Workstations, cliquer sur Add et ajouter le compte MDT_JD.
  4. Sur la fenetre Permissions Entry for Workstations, s’assurer que la section Apply to correspond à This object and all descendant objects. Puis cocher les permissions suivantes:
    a. Create Computer objects
    b. Delete Computer objects
    puis confirmer avec ok.

joindomain1

[ecko_annotated header= »Permissions Entry for Worktations (1) » annotation= »This object and all descendant objects »]joindomain2[/ecko_annotated]

  1. Sur la fenetre Advanced Security Setting for Workstations, cliquer sur Add à nouveau et ajouter le compte MDT_JD.
  2. Sur la fenetre Permissions Entry for Workstations, configurer la section Apply to pour Descendant Computer objects. Puis cocher les permissions suivantes:
    a. Read All Properties
    b. Write All Properties
    c. Read Permissions
    d. Modify Permissions
    e. Change Password
    f. Reset Password
    g. Validated write to DNS host name
    h. Validated write to service principal name

    puis confirmer avec ok.

joindomain3

[ecko_annotated header= »Permissions Entry for Worktations (2) » annotation= »Descendant Computer Objects »]joindomain4[/ecko_annotated]