#Import du module AD
Import-module activedirectory

# Nom de l'OU Ordinateurs
$OUOrdinateursName = 'Ordinateurs'
# Nom de l'OU Groupes
$OUGroupesName = 'Groupes'
# Distinguished name du domaine
$DomaineDN = (Get-ADDomain).distinguishedname
# Nom du groupe
$GPName = 'DL-Join'

# Création de l'OU Ordinateurs
$OrdinateursOU = New-ADOrganizationalUnit $OUOrdinateursName -Path $DomaineDN -PassThru
# Création de l'OU Groupes
$GroupesOU = New-ADOrganizationalUnit $OUGroupesName -Path $DomaineDN -PassThru
# Création du groupe
New-ADGroup $GPName -GroupCategory security -GroupScope domainlocal -Path $GroupesOU.distinguishedname
# Création un objet ordinateur :
New-adcomputer pc-demo -path $OrdinateursOU.distinguishedname

# Autoriser un groupe à joindre un ordinateur au domaine sur une OU. Avec héritage des droits :
# $OrdinateursOU.distinguishedname correspond au distinguished name de l'OU.
dsacls $OrdinateursOU.distinguishedname /I:S /G $GPName":WS;Validated write to DNS host name;computer"
dsacls $OrdinateursOU.distinguishedname /I:S /G $GPName":WS;Validated write to service principal name;computer"
dsacls $OrdinateursOU.distinguishedname /I:S /G $GPName":CA;Reset Password;computer"
dsacls $OrdinateursOU.distinguishedname /I:S /G $GPName":WP;Account Restrictions;computer"

# Il est aussi possible d'ajouter les droits de création de l'ordinateur dans l'OU
dsacls $OrdinateursOU.distinguishedname /I:T /G $GPName`:CC; computer