Best practices for linking to the domain - Delegation and pre-staging

To support me, you can subscribe to the channel, share and like the videos, disable your ad blocker or make a donation. Thank you!

Hello,

Best practices for domain joins - Delegation and pre-staging

Following a change to the domain junction reinforcement, this video requires an update

https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8

Delegate from the command line (on an OU)

#Import du module AD
Import-module activedirectory

# Nom de l'OU Ordinateurs
$OUOrdinateursName = 'Ordinateurs'
# Nom de l'OU Groupes
$OUGroupesName = 'Groupes'
# Distinguished name du domaine
$DomaineDN = (Get-ADDomain).distinguishedname
# Nom du groupe
$GPName = 'DL-Join'

# Création de l'OU Ordinateurs
$OrdinateursOU = New-ADOrganizationalUnit $OUOrdinateursName -Path $DomaineDN -PassThru
# Création de l'OU Groupes
$GroupesOU = New-ADOrganizationalUnit $OUGroupesName -Path $DomaineDN -PassThru
# Création du groupe
New-ADGroup $GPName -GroupCategory security -GroupScope domainlocal -Path $GroupesOU.distinguishedname
# Création un objet ordinateur :
New-adcomputer pc-demo -path $OrdinateursOU.distinguishedname

# Autoriser un groupe à joindre un ordinateur au domaine sur une OU. Avec héritage des droits :
# $OrdinateursOU.distinguishedname correspond au distinguished name de l'OU.
dsacls $OrdinateursOU.distinguishedname /I:S /G $GPName":WS;Validated write to DNS host name;computer"
dsacls $OrdinateursOU.distinguishedname /I:S /G $GPName":WS;Validated write to service principal name;computer"
dsacls $OrdinateursOU.distinguishedname /I:S /G $GPName":CA;Reset Password;computer"
dsacls $OrdinateursOU.distinguishedname /I:S /G $GPName":WP;Account Restrictions;computer"

# Il est aussi possible d'ajouter les droits de création de l'ordinateur dans l'OU
dsacls $OrdinateursOU.distinguishedname /I:T /G $GPName`:CC; computer