Délégation de Contrôle Administratif pour un compte de service Active Directory

Compte de Service Active Directory

Wisper® utilise un compte de service Active Directory, compte utilisateur membre du domaine, constitué et configuré explicitement afin de fournir un contexte sécurisé pour créer des comptes ordinateur dans l'annuaire, ou bien plus spécifiquement dans une OU particulière du domaine.
C'est ce que nous allons voir précisément dans cette documentation qui a pour but de vous aider à configurer un compte utilisateur du domaine en tant que compte de service.

Effectivement pour des raisons de sécurité et de traçabilité, il est nécessaire de créer un compte de service strictement dédié à cet usage de création de comptes ordinateur.

Le compte de service est utilisé au sein des scripts de routing d'intégration au domaine. Généralement, ces scripts ont un intitulé de nommage de type "...JoinDomain", et permettent donc l'intégration de machines Virtuelles ceBox® dans votre Active Directory.

Vous pouvez vous référer à la documentation traitant des scripts de routing ceBox® en cliquant sur le lien ci-dessous :
https://cebox.readme.io/docs/scripts

Délégation de Contrôle Active Directory pour créer des comptes Ordinateur au niveau de l'annuaire

Le plus simple, et si ce niveau de sécurité vous convient, est d'utiliser un compte de service qui aura la possibilité de créer des comptes ordinateur n'importe où dans votre annuaire Active Directory.

Pour cela, il vous suffit de suivre les étapes illustrées ci-dessous.

Pour les besoins de cette démonstration, nous allons utiliser un compte utilisateur membre d'un domaine Active Directory. Ce compte utilisateur nommé "neojoin" sera justement à terme notre compte de service, qui devra servir à inscrire les machines virtuelles ceBox® dans cet annuaire.

L’outil d'administration "Utilisateurs et Ordinateurs Active Directory " est l'outil de référence pour réaliser cette opération de délégation de contrôle administratif.

504

Comme vous pouvez le constater, ce compte utilisateur appartient au conteneur "Users" de l'Active Directory. Ceci n'est pas un prérequis, ce compte peut être situé à n'importe quel niveau de l'annuaire

Afin de déléguer le contrôle de création de comptes ordinateur au niveau de l’annuaire Active Directory, il faut tout d'abord cliquer-droit sur le nom du domaine :

457

Sélectionnez le menu "Délégation de Contrôle ..."

Une fois le menu "Délégation de Contrôle ..." sélectionné, l'assistant de délégation de contrôle va s'afficher :

513

Cliquez sur "Suivant"

Il faut maintenant ajouter le compte utilisateur que l'on souhaite désigner en tant que compte de service :

510

Cliquez sur le bouton "Ajouter..."

Sélectionner ensuite ce compte utilisateur à partir du domaine Active Directory. Ici, nous avons saisi le nom de l'utilisateur "neojoin", puis nous avons cliqué sur le bouton "Vérifier les noms" :

546

Après avoir vérifié le nom de l'utilisateur, cliquez sur "OK"

Le compte utilisateur est dorénavant bel et bien sélectionné dans l'assistant de délégation de contrôle :

510

Cliquez sur "Suivant"

Maintenant, il faut définir la tâche que nous souhaitons déléguer à ce compte utilisateur. Il s'agira forcément du droit de joindre un ordinateur au domaine :

512

Cochez tout simplement la case "Joindre un ordinateur au domaine", puis cliquez sur "Suivant"

Voilà, c’est terminé. Le compte utilisateur aura dorénavant le droit de créer des comptes ordinateur à n'importe quel niveau de l'annuaire Active Directory. L'assistant délégation de contrôle résume l'opération réalisée :

513

Cliquez sur "Terminer"

Vérifier l'application de la délégation de contrôle

Il est possible de vérifier l'application de la délégation de contrôle. Pour cela, il faut cliquer-droit sur le nom du domaine et sélectionner le menu "Propriétés" :

507

Cliquez sur l'onglet "Sécurité"

Ensuite depuis l'onglet "Sécurité", il faut sélectionner le compte de service configuré précédemment :

📘

Information au sujet de l'utilisateur faisant l'objet du compte de service

Le nom de l'utilisateur utilisé en tant que compte de service, est visible dans la colonne intitulée "Principal" de la fenêtre des paramètres de sécurité avancés du domaine Active Directory.

781

Double-cliquez sur l'autorisation sélectionnée. Celle justement appliquée pour le compte de service

📘

Suppression de l'utilisateur utilisé comme compte de service

Notez qu'il est possible de supprimer l'autorisation de délégation de contrôle, à partir de cette fenêtre des paramètres de sécurité avancés du domaine Active Directory.

Dans la fenêtre des autorisations du domaine, le compte de service doit disposer du droit de "Créer des objets ordinateur à l'intérieur du domaine Active Directory" :

1022

Pour fermer les différentes fenêtres ouvertes, cliquez successivement sur tous les boutons "Annuler"

Délégation de Contrôle Active Directory pour créer des comptes Ordinateur spécifiquement au niveau d'une Unité d'Organisation

Dans cette documentation, nous avons vu comment réaliser une délégation de contrôle pour un compte de service, afin de l'autoriser à créer des ordinateurs dans l'annuaire. Or, ce niveau de droit peut être jugé trop permissif puisqu'il permet justement la création de comptes machine partout dans l'Active Directory.

Si vous le souhaitez, vous pouvez restreindre la création des comptes ordinateur uniquement au niveau d'une seule unité d'organisation spécifique aux machines virtuelles ceBox® qui seront intégrées à l'annuaire. En effet, Active Directory autorise cette possibilité permettant au final de disposer d'un compte de service délégué au droit stricte de créer des comptes ordinateur, uniquement dans une OU dédiée.

Voici comment procéder :

Le début de la procédure est quasi identique à celle précédemment vue concernant une délégation de contrôle au niveau du domaine. Pour déléguer le contrôle de création de comptes ordinateur au niveau d'une OU, il faut utiliser l'assistant de délégation de contrôle en cliquant-droit sur l'OU souhaitée :

509

Choisissez "Créer une tâche personnalisée à déléguer" ; puis cliquez sur "Suivant"

Laissez le choix de délégation de contrôle par défaut :

512

Cliquez sur "Suivant"

Concernant les autorisations, veillez bien à cocher les cases "Générales" et "Création/suppression d'objets enfants spécifiques" :

509

Cocher l'autorisation "Créer des objets Ordinateur" :

509

Cliquez sur "Suivant"

Enfin, l'assistant vous résume l'opération réalisée. Nous avons bien délégué le contrôle de création d'ordinateur dans l'OU "VM" pour l'utilisateur "neojoin".
Pour vérifier l'application de cette autorisation, il faut tout simplement aller dans les propriétés de l'OU, puis de cliquer sur l'onglet "Sécurité". Vérifier l'application de la délégation de contrôle pour le compte de service souhaité. Même procédure que précédemment chapitre "Vérifier l'application de la délégation de contrôle"

510

Voilà, c'est fini. Cliquez sur "Terminer".

❗️

Chemin d'OU dans le Script de Routing

Créer des ordinateurs virtuels dans une unité d'organisation, nécessite dans le script de routing ceBox®, que vous renseigniez impérativement le chemin de l'OU concernée (distinguished name de l'OU).
Si le chemin d'OU n'est pas bien renseigné et/ou si la variable "s_OU" est laissée à "N", alors les ordinateurs seront créés par defaut dans le conteneur Ordinateurs de l'annuaire Active Directory.
https://cebox.readme.io/docs/scripts