Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La délégation de contrôle signifie que vous pouvez attribuer une série de tâches administratives à différents utilisateurs et groupes. Vous pouvez confier des tâches administratives de base à des utilisateurs ou groupes ordinaires, et laisser l'administration de l'ensemble du domaine et de la forêt aux membres des groupes Admins de domaine et Admins d'entreprise. En déléguant l'administration, vous permettez à des groupes de votre organisation de mieux contrôler leurs ressources locales. En limitant le nombre de membres des groupes d'administrateurs, vous contribuez également à sécuriser votre environnement Active Directory contre les dommages accidentels ou malveillants.
Vous pouvez déléguer le contrôle administratif à n'importe quel niveau de l'arborescence d'un domaine en créant des unités d'organisation au sein d'un domaine et en déléguant le contrôle administratif d'unités d'organisation spécifiques à des utilisateurs ou à des groupes particuliers. Pour décider des unités d'organisation à créer et de celles qui doivent contenir des comptes ou des ressources partagées, tenez compte de la structure de votre organisation.
Active Directory définit des permissions et des droits d'utilisateur spécifiques qui peuvent être utilisés pour déléguer ou restreindre le contrôle administratif. En utilisant une combinaison d'unités d'organisation, de groupes et de permissions, vous pouvez définir l'étendue administrative la plus appropriée pour une personne particulière, qui peut être un domaine entier, toutes les unités d'organisation d'un domaine ou une seule unité d'organisation.
Le contrôle administratif peut être attribué à un utilisateur ou à un groupe à l'aide de l'assistant de délégation de contrôle. Vous pouvez utiliser l'assistant de délégation de contrôle pour déléguer les tâches suivantes :
- Créer, supprimer et gérer des comptes d’utilisateurs
- Réinitialiser des mots de passe d’utilisateur et obliger la modification du mot de passe à la prochaine ouverture de session
- Lire toutes les informations d’utilisateur
- Modifier l’appartenance d’un groupe
- Joindre un ordinateur à un domaine
- Gérer les liens de stratégies de groupe
- Générer le Jeu de stratégie résultant (Planification)
- Générer le jeu de stratégie résultant (Enregistrement)
- créer, supprimer et gérer des comptes inetOrgPerson
- Réinitialiser les mots de passe inetOrgPerson et forcer le changement de mot de passe lors de la prochaine connexion.
- Lire toutes les informations relatives à inetOrgPerson
Prérequis
Avant de pouvoir déléguer le contrôle, vous devez remplir les conditions préalables suivantes.
Vous devez être membre du groupe Domain Admins ou avoir reçu les permissions nécessaires pour effectuer les tâches que vous souhaitez déléguer.
Sur l'ordinateur sur lequel vous allez déléguer le contrôle, vous devez avoir installé les outils d'administration à distance du serveur AD DS (RSAT).
Déléguer le contrôle
Lorsque vous utilisez l'assistant de délégation de contrôle, vous déléguez non seulement au niveau du domaine ou de l'unité d'organisation, mais aussi à tous les objets de ce conteneur.
Pour utiliser l'assistant de délégation de contrôle, procédez comme suit :
Dans Active Directory Users and Computers, sélectionnez le conteneur parent. Par exemple, sélectionnez le domaine ou l'unité d'organisation sur lequel vous souhaitez déléguer le contrôle.
Dans le menu Action, sélectionnez Déléguer le contrôle. L'assistant de délégation de contrôle démarre.
Sur la page Utilisateurs ou groupes, sélectionnez les utilisateurs ou groupes auxquels vous déléguez des privilèges.
Sur la page Tâches à déléguer, sélectionnez la tâche que vous souhaitez déléguer à partir d'une liste de tâches communes, comme expliqué précédemment dans cet article.
Cliquez sur Terminer pour achever le processus de délégation.
Vous pouvez également choisir l'option Créer une tâche personnalisée à déléguer si vous souhaitez créer une tâche personnalisée. La création d'une tâche personnalisée implique de spécifier le type d'objet auquel la tâche se rapporte et les permissions que vous souhaitez déléguer. Les tâches communes s'appliquent à tous les objets du conteneur sur lequel vous effectuez la délégation.