• Forcer le transfert de rôles FSMO
• Créer des relations d'approbations de forêts

Les délégations de contrôle permettent de déléguer différentes tâches courantes à l'aide d'un assistant, mais aussi d'autoriser des actions spécifiques (comme : ajouter ou supprimer un type d'objets spécifique, ...).

1. Déléguer une tâche courante grâce à l'assistant Délégation de contrôle
   1. Créer une délégation de contrôle
   2. Tester la délégation de contrôle créée
   3. Modifier les autorisations d'une délégation de contrôle
2. Déléguer une tâche personnalisée grâce à l'assistant Délégation de contrôle
3. Géré par
4. Gérer manuellement les autorisations Active Directory

1. Déléguer une tâche courante grâce à l'assistant Délégation de contrôle

1.1. Créer une délégation de contrôle

La 1ère possibilité pour créer une délégation de contrôle consiste à utiliser l'assistant de "Délégation de contrôle".
Pour l'ouvrir, ouvrez la console "Utilisateurs et ordinateurs Active Directory" et faites un clic droit "Délégation de contrôle" sur votre domaine Active Directory ou sur le conteneur ou l'unité d'organisation souhaitée.
Dans notre cas, nous allons créer une délégation de contrôle pour notre domaine Active Directory.

L'assistant Délégation de contrôle apparait.

Choisissez les utilisateurs et/ou les groupes auxquels vous souhaitez déléguer une certaine tâche.

Indiquez le nom des utilisateurs et/ou des groupes souhaités.

Les utilisateurs et/ou groupes apparaissent dans la liste.

La liste des tâches courantes qui peuvent être déléguées s'affiche :

• Créer, supprimer et gérer les comptes d'utilisateurs
• Réinitialiser les mots de passe utilisateur et forcer le changement de mot de passe à la prochaine ouverture de session
• Lire toutes les informations sur l'utilisateur
• Modifier l'appartenance à un groupe
• Joindre un ordinateur au domaine
• Gérer les liens de stratégie de groupe
• Générer le jeu de stratégie résultant (Planification)
• Générer le jeu de stratégie résultant (Enregistrement)
• Créer, supprimer et gérer des comptes inetOrgPerson
• Réinitialiser les mots de passe inetOrgPerson et forcer la modification des mots de passe lors de la prochaine ouverture de session
• Lire toutes les informations inetOrgPerson

Pour ce tutoriel, nous allons créer une délégation pour que notre utilisateur "InformatiUser" puisse créer, supprimer et gérer les comptes utilisateurs.

Un résumé de la délégation de contrôle à créer s'affiche.
Cliquez sur Terminer.

1.2. Tester la délégation de contrôle créée

Pour notre tutoriel, nous avons autorisé la gestion des utilisateurs à notre utilisateur "InformatiUser".
Néanmoins, cet utilisateur n'est pas administrateur et n'a donc pas la possibilité de se connecter directement sur nos contrôleurs de domaine.

Pour gérer les comptes d'utilisateurs, cet utilisateur devra donc se connecter sur un PC client lié à votre domaine Active Directory et utiliser la console RSAT correspondante.
Dans notre cas, nous avons installé la console "Utilisateurs et ordinateurs Active Directory" sur le PC client.

Comme vous pouvez le voir, en étant connecté avec notre utilisateur "InformatiUser", nous pouvons créer uniquement des objets de type "Utilisateur".

La fenêtre "Nouvel objet - Utilisateur" s'affiche.
Nous indiquons un prénom et un nom d'utilisateur pour celui-ci.

Nous définissons un mot de passe et nous choisissons que ce mot de passe n'expire jamais.

Un résumé de l'utilisateur s'affiche.

L'utilisateur a bien été créé.

Si vous affichez les propriétés de l'utilisateur que vous venez de créer, vous verrez que vous pourrez modifier ses propriétés.

Par contre, pour des raisons de sécurité, il ne pourra pas modifier les propriétés du compte Administrateur.

Vous ne pourrez pas non plus modifier les propriétés des groupes existants, vu que la délégation créée est limitée aux objets de type "Utilisateur".

1.3. Modifier les autorisations d'une délégation de contrôle

Lorsque vous utilisez l'assistant de délégation de contrôle, celui-ci ajoute les autorisations nécessaires sur le conteneur ou l'unité d'organisation souhaitée.
Pour modifier ces autorisations, il suffit de faire un clic droit "Propriétés" sur le conteneur ou l'unité d'organisation concernée, puis d'aller dans l'onglet "Sécurité".

Néanmoins, comme vous pouvez le voir, l'onglet "Sécurité" n'est pas affiché par défaut.

Pour afficher cet onglet "Sécurité" dans les propriétés de vos objets Active Directory, vous devez allez dans le menu "Affichage" et cliquer sur "Fonctionnalités avancées".

Maintenant, faites un clic droit "Propriétés" sur le dossier souhaité.

Dans l'onglet "Sécurité", nous retrouvons notre utilisateur "InformatiUser" à qui nous avions délégué la gestion des utilisateurs.
Actuellement, la seule information affichée est l'autorisation "Autorisations spéciales".

Cliquez sur : Avancé.

Dans la fenêtre "Paramètres de sécurité avancés pour [nom du conteneur]" qui s'affiche, nous retrouvons une autorisation :

• de type : Autoriser
• pour le principal (qui est peut être un utilisateur ou un groupe) : InformatiUser
• accès : Créer/supprimer les objets Utilisateur
• hérité de : Aucun
• qui s'applique à : cet objet et tous ceux descendants

Si vous sélectionnez cette autorisation et que vous cliquez sur Modifier, vous pourrez choisir :

• à quel principal (utilisateur ou groupe) celle-ci s'applique
• son type : autoriser ou refuser
• à quoi s'applique cette stratégie
• quelles autorisations vous souhaitez accorder ou refuser (en fonction du type de l'autorisation en cours de modification)

Si nous regardons plus bas, nous retrouvons les autorisations "Créer des objets Utilisateur" et "Suppr. des objets Utilisateur" attribuées précédemment par l'assistant de délégation de contrôle.

Plus bas, on trouve aussi une seconde autorisation avec un accès contrôle total, mais qui s'applique comme prévu qu'aux objets de type "Utilisateur".