Délégation de Contrôle Administratif pour un compte de service Active Directory
Compte de Service Active Directory
Wisper® utilise un compte de service Active Directory, compte utilisateur membre du domaine, constitué et configuré explicitement afin de fournir un contexte sécurisé pour créer des comptes ordinateur dans l'annuaire, ou bien plus spécifiquement dans une OU particulière du domaine.
C'est ce que nous allons voir précisément dans cette documentation qui a pour but de vous aider à configurer un compte utilisateur du domaine en tant que compte de service.
Effectivement pour des raisons de sécurité et de traçabilité, il est nécessaire de créer un compte de service strictement dédié à cet usage de création de comptes ordinateur.
Le compte de service est utilisé au sein des scripts de routing d'intégration au domaine. Généralement, ces scripts ont un intitulé de nommage de type "...JoinDomain", et permettent donc l'intégration de machines Virtuelles ceBox® dans votre Active Directory.
Vous pouvez vous référer à la documentation traitant des scripts de routing ceBox® en cliquant sur le lien ci-dessous :
https://cebox.readme.io/docs/scripts
Délégation de Contrôle Active Directory pour créer des comptes Ordinateur au niveau de l'annuaire
Le plus simple, et si ce niveau de sécurité vous convient, est d'utiliser un compte de service qui aura la possibilité de créer des comptes ordinateur n'importe où dans votre annuaire Active Directory.
Pour cela, il vous suffit de suivre les étapes illustrées ci-dessous.
Pour les besoins de cette démonstration, nous allons utiliser un compte utilisateur membre d'un domaine Active Directory. Ce compte utilisateur nommé "neojoin" sera justement à terme notre compte de service, qui devra servir à inscrire les machines virtuelles ceBox® dans cet annuaire.
L’outil d'administration "Utilisateurs et Ordinateurs Active Directory " est l'outil de référence pour réaliser cette opération de délégation de contrôle administratif.
Comme vous pouvez le constater, ce compte utilisateur appartient au conteneur "Users" de l'Active Directory. Ceci n'est pas un prérequis, ce compte peut être situé à n'importe quel niveau de l'annuaire
Afin de déléguer le contrôle de création de comptes ordinateur au niveau de l’annuaire Active Directory, il faut tout d'abord cliquer-droit sur le nom du domaine :
Une fois le menu "Délégation de Contrôle ..." sélectionné, l'assistant de délégation de contrôle va s'afficher :
Il faut maintenant ajouter le compte utilisateur que l'on souhaite désigner en tant que compte de service :
Sélectionner ensuite ce compte utilisateur à partir du domaine Active Directory. Ici, nous avons saisi le nom de l'utilisateur "neojoin", puis nous avons cliqué sur le bouton "Vérifier les noms" :
Le compte utilisateur est dorénavant bel et bien sélectionné dans l'assistant de délégation de contrôle :
Maintenant, il faut définir la tâche que nous souhaitons déléguer à ce compte utilisateur. Il s'agira forcément du droit de joindre un ordinateur au domaine :
Voilà, c’est terminé. Le compte utilisateur aura dorénavant le droit de créer des comptes ordinateur à n'importe quel niveau de l'annuaire Active Directory. L'assistant délégation de contrôle résume l'opération réalisée :
Vérifier l'application de la délégation de contrôle
Il est possible de vérifier l'application de la délégation de contrôle. Pour cela, il faut cliquer-droit sur le nom du domaine et sélectionner le menu "Propriétés" :
Ensuite depuis l'onglet "Sécurité", il faut sélectionner le compte de service configuré précédemment :
Information au sujet de l'utilisateur faisant l'objet du compte de service
Le nom de l'utilisateur utilisé en tant que compte de service, est visible dans la colonne intitulée "Principal" de la fenêtre des paramètres de sécurité avancés du domaine Active Directory.
Suppression de l'utilisateur utilisé comme compte de service
Notez qu'il est possible de supprimer l'autorisation de délégation de contrôle, à partir de cette fenêtre des paramètres de sécurité avancés du domaine Active Directory.
Dans la fenêtre des autorisations du domaine, le compte de service doit disposer du droit de "Créer des objets ordinateur à l'intérieur du domaine Active Directory" :
Délégation de Contrôle Active Directory pour créer des comptes Ordinateur spécifiquement au niveau d'une Unité d'Organisation
Dans cette documentation, nous avons vu comment réaliser une délégation de contrôle pour un compte de service, afin de l'autoriser à créer des ordinateurs dans l'annuaire. Or, ce niveau de droit peut être jugé trop permissif puisqu'il permet justement la création de comptes machine partout dans l'Active Directory.
Si vous le souhaitez, vous pouvez restreindre la création des comptes ordinateur uniquement au niveau d'une seule unité d'organisation spécifique aux machines virtuelles ceBox® qui seront intégrées à l'annuaire. En effet, Active Directory autorise cette possibilité permettant au final de disposer d'un compte de service délégué au droit stricte de créer des comptes ordinateur, uniquement dans une OU dédiée.
Voici comment procéder :
Le début de la procédure est quasi identique à celle précédemment vue concernant une délégation de contrôle au niveau du domaine. Pour déléguer le contrôle de création de comptes ordinateur au niveau d'une OU, il faut utiliser l'assistant de délégation de contrôle en cliquant-droit sur l'OU souhaitée :
Laissez le choix de délégation de contrôle par défaut :
Concernant les autorisations, veillez bien à cocher les cases "Générales" et "Création/suppression d'objets enfants spécifiques" :
Cocher l'autorisation "Créer des objets Ordinateur" :
Enfin, l'assistant vous résume l'opération réalisée. Nous avons bien délégué le contrôle de création d'ordinateur dans l'OU "VM" pour l'utilisateur "neojoin".
Pour vérifier l'application de cette autorisation, il faut tout simplement aller dans les propriétés de l'OU, puis de cliquer sur l'onglet "Sécurité". Vérifier l'application de la délégation de contrôle pour le compte de service souhaité. Même procédure que précédemment chapitre "Vérifier l'application de la délégation de contrôle"
Chemin d'OU dans le Script de Routing
Créer des ordinateurs virtuels dans une unité d'organisation, nécessite dans le script de routing ceBox®, que vous renseigniez impérativement le chemin de l'OU concernée (distinguished name de l'OU).
Si le chemin d'OU n'est pas bien renseigné et/ou si la variable "s_OU" est laissée à "N", alors les ordinateurs seront créés par defaut dans le conteneur Ordinateurs de l'annuaire Active Directory.
https://cebox.readme.io/docs/scripts
Updated about 1 year ago