Bonnes pratiques de jonction au domaine - Délégation et pre-staging

Pour me soutenir, vous pouvez vous abonner à la chaîne, partager et liker les vidéos, désactiver votre bloqueur de pub ou encore faire un don. Merci!

Bonjour,

Présentation de bonnes pratiques de jonction au domaine - Délégation et pre-staging

Suite à une modification du renforcement de la jonction au domaine, cette vidéo nécessite une actualisation https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8

Présentation de différentes alternatives de jonction à un domaine Active Directory :
Comment joindre un domaine Active Directory avec les Propriétés système (1/9)
Bonnes pratiques de jonction au domaine - Délégation et pre-staging (2/9)
Comment joindre un domaine Active Directory avec le Menu Paramètres (3/9)
Comment joindre un domaine Active Directory par PowerShell (4/9)
Comment joindre un domaine Active Directory avec djoin (hors connexion) (5/9)
Comment joindre un domaine Active Directory avec netdom (6/9)
Comment joindre un domaine Active Directory avec DSC (7/9)
Comment joindre un domaine Active Directory avec ICD (8/9)
Comment joindre un domaine Active Directory avec MDT (9/9) 

Déléguer en ligne de commande (sur une OU)

#Import du module AD
Import-module activedirectory
# Nom de l'OU Ordinateurs
$OUOrdinateursName = 'Ordinateurs'
# Nom de l'OU Groupes
$OUGroupesName = 'Groupes'
# Distinguished name du domaine
$DomaineDN = (Get-ADDomain).distinguishedname
# Nom du groupe
$GPName = 'DL-Join'
# Création de l'OU Ordinateurs
$OrdinateursOU = New-ADOrganizationalUnit $OUOrdinateursName -Path $DomaineDN -PassThru
# Création de l'OU Groupes
$GroupesOU = New-ADOrganizationalUnit $OUGroupesName -Path $DomaineDN -PassThru
# Création du groupe
New-ADGroup $GPName -GroupCategory security -GroupScope domainlocal -Path $GroupesOU.distinguishedname
# Création un objet ordinateur :
New-adcomputer pc-demo -path $OrdinateursOU.distinguishedname
# Autoriser un groupe à joindre un ordinateur au domaine sur une OU. Avec héritage des droits :
# $OrdinateursOU.distinguishedname correspond au distinguished name de l'OU.
dsacls $OrdinateursOU.distinguishedname /I:S /G $GPName":WS;Validated write to DNS host name;computer"
dsacls $OrdinateursOU.distinguishedname /I:S /G $GPName":WS;Validated write to service principal name;computer"
dsacls $OrdinateursOU.distinguishedname /I:S /G $GPName":CA;Reset Password;computer"
dsacls $OrdinateursOU.distinguishedname /I:S /G $GPName":WP;Account Restrictions;computer"
# Il est aussi possible d'ajouter les droits de création de l'ordinateur dans l'OU
dsacls $OrdinateursOU.distinguishedname /I:T /G $GPName`:CC; computer

Vous pouvez changer l’emplacement par défaut pour les ordinateurs

Puis sur le contrôleur de domaine principal, dans un cmd ou PowerShell :
redircmp ‘DN de l’OU’

# Exemple :
redircmp ‘ou=ordinateurs,dc=domaine,dc=tld’

Video : Bonnes pratiques de jonction au domaine - Délégation et pre-staging

Liens en relation