## Sur le contrôleur de domaine
# Dans le cas d'utilisation du pre-staging, il peut être nécessaire de déléguer aussi la création de l'objet dans le domaine et pas uniquement la jonction au domaine.
# Suite à une modification du renforcement de la jonction au domaine, il est nécessaire d'être administrateur ou propriétaire de l'objet ordinateur pour le joindre au domaine
# https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8

# Nom de l'OU Ordinateurs
$OUOrdinateursName = 'Ordinateurs'
# Distinguished name du domaine
$DomaineDN = (Get-ADDomain).distinguishedname

# Autoriser un groupe à joindre un ordinateur au domaine sur une OU. Avec héritage des droits :
$OrdinateursOU = "ou=$OUOrdinateursName,$DomaineDN"
dsacls $OrdinateursOU /I:S /G $GPName":WS;Validated write to DNS host name;computer"
dsacls $OrdinateursOU /I:S /G $GPName":WS;Validated write to service principal name;computer"
dsacls $OrdinateursOU /I:S /G $GPName":CA;Reset Password;computer"
dsacls $OrdinateursOU /I:S /G $GPName":WP;Account Restrictions;computer"

# Ajouter les droits de création de l'ordinateur dans l'OU
dsacls $OrdinateursOU /I:T /G $GPName":CC;computer"


## Sur le poste à joindre le domaine
# On a la possibilité de définir l'OU de destination et de renommer le poste.
$NomPC = 'pc-PoSH'
$domaine = 'domaine.tld'
$ou = 'Ordinateurs'
$oupath = 'ou={2},dc={0},dc={1}' -f ($domaine.split('.') + $ou)

$param = @{
    DomainName = $domaine
    NewName = $NomPC
    Credential = get-credential
    OUPath = $oupath
    Restart = $true
}
Add-Computer @param