Utilisation de l'Assistant Délégation de contrôle dans Windows Server 2003 Active Directory

  • Article

Paru le 17/09/2004

Ce guide pas à pas décrit la procédure de délégation de l'administration d'objets dans un conteneur de service Windows Server 2003 Active Directory. En déléguant l'administration, vous pouvez attribuer un certain nombre de tâches administratives à des utilisateurs et groupes appropriés.

Sur cette page

Introduction
Présentation
Utilisation de l'Assistant Délégation de contrôle
Autres ressources

Introduction

Guides pas à pas

Les guides pas à pas pour le déploiement de Windows Server 2003 fournissent une expérience pratique pour de nombreuses configurations de système d'exploitation courantes. Les guides commencent par établir une infrastructure réseau commune via l'installation de Windows Server 2003, la configuration d'Active Directory, l'installation d'une station de travail Windows XP Professionnel et l'ajout de cette station de travail à un domaine. Les guides pas à pas ultérieurs partent du principe que vous avez déjà mis en place cette infrastructure réseau commune. Si vous ne souhaitez pas suivre cette infrastructure réseau commune, vous devez apporter les modifications appropriées lors de l'utilisation de ces guides.

La mise en place de l'infrastructure réseau commune nécessite que vous ayez lu et appliqué les guides suivants :

Une fois que vous avez configuré l'infrastructure réseau commune, vous pouvez vous reporter à n'importe quel guide pas à pas supplémentaire. Notez que, dans certains guides pas à pas, d'autres conditions préalables peuvent venir s'ajouter à celles déjà mentionnées pour la mise en place de l'infrastructure réseau commune. Toute condition préalable supplémentaire sera indiquée dans le guide pas à pas correspondant.

Microsoft Virtual PC

Les guides pas à pas pour le déploiement de Windows Server 2003 peuvent être implémentés dans un environnement de laboratoire ou à l'aide de technologies de virtualisation telles que Microsoft Virtual PC 2004 ou Microsoft Virtual Server 2005. La technologie de la machine virtuelle permet aux clients d'exécuter simultanément plusieurs systèmes d'exploitation sur un seul serveur physique. Virtual PC 2004 et Virtual Server 2005 sont conçus pour offrir un meilleur rendement d'exécution en termes de test et développement de logiciels, migration d'applications héritées et scénarios de consolidation de serveur.

Bien que les guides pas à pas de déploiement de Windows Server 2003 supposent que toutes les configurations ont lieu dans un environnement de laboratoire, la plupart des configurations peuvent s'appliquer dans un environnement virtuel sans modification.

L'application des concepts présentés dans ces guides pas à pas dans un environnement virtuel dépasse le cadre de ce document.

Remarques importantes

Les exemples de sociétés, organisations, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et événements décrits ici relèvent de la fiction, et aucun lien avec une société, organisation, produit, nom de domaine, adresse de messagerie, logo, personne, lieu ou événement réel n'en peut être déduit.

Cette infrastructure commune répond à des objectifs d'utilisation sur un réseau privé. Le nom de société fictif et le nom DNS (Domain Name System) utilisés dans l'infrastructure commune ne sont pas enregistrés et ne peuvent donc pas être utilisés sur Internet. Vous ne devez pas utiliser ce nom sur un réseau public ou sur Internet.

La structure du service Active Directory pour cette infrastructure commune est conçue pour illustrer la gestion des modifications et de la configuration de Windows Server 2003 et son interaction avec Active Directory. Elle n'a pas été conçue comme modèle de configuration d'Active Directory pour une organisation.

Présentation

Ce guide pas à pas décrit la procédure de délégation de l'administration d'objets dans un conteneur de service Windows Server 2003 Active Directory. En déléguant l'administration, vous pouvez attribuer un certain nombre de tâches administratives à des utilisateurs et groupes appropriés. Ainsi, les opérations de base peuvent être assurées par des utilisateurs ou groupes non-administrateurs, ce qui permet aux membres des groupes Admins du domaine et Administrateurs de l'entreprise de se consacrer à l'administration à l'échelle du domaine et de la forêt. Vous pouvez ainsi permettre à des groupes de votre organisation de mieux maîtriser leurs ressources réseau locales. La délégation vous permet également de protéger votre réseau contre les dommages dus à des actes malveillants ou accidentels en limitant les appartenances aux groupes d'administrateurs.

Vous pouvez déléguer le contrôle administratif à n'importe quel niveau d'une arborescence de domaine en créant des unités d'organisation au sein d'un domaine et en déléguant le contrôle administratif d'unités d'organisation spécifiques à des utilisateurs ou groupes particuliers.

Active Directory définit des autorisations et des droits utilisateur spécifiques qui peuvent être utilisés dans le but de déléguer ou de restreindre le contrôle administratif. En utilisant une combinaison d'unités d'organisation, de groupes et d'autorisations, vous pouvez définir l'étendue administrative la plus appropriée pour une personne donnée, par exemple, un domaine entier, toutes les unités d'organisation d'un domaine ou une seule unité d'organisation.

Le contrôle administratif peut être attribué à un utilisateur ou à un groupe à l'aide de l'Assistant Délégation de contrôle ou de la console Gestionnaire d'autorisations. Ces deux outils vous permettent d'attribuer des droits et des autorisations à des groupes ou à des utilisateurs spécifiques.

Ce document fournit trois exemples de délégation utilisant l'Assistant Délégation de contrôle dans la console MMC (Microsoft Management Console) Utilisateurs et ordinateurs Active Directory :

  • Délégation du contrôle intégral d'une unité d'organisation.

  • Délégation de la création et de la suppression d'utilisateurs dans une unité d'organisation.

  • Délégation de la réinitialisation des mots de passe de tous les utilisateurs d'une unité d'organisation.

Conditions préalables

Conditions

Pour réaliser ces procédures, vous devez appartenir au groupe Admins du domaine ou Administrateurs de l'entreprise dans Active Directory ou avoir reçu l'autorisation appropriée. Outre l'implémentation de l'infrastructure commune, vous devez effectuer les opérations suivantes :

  • Ajout d'une nouvelle organisation appelée Divisions au domaine Contoso.

  • Ajout de trois nouvelles unités d'organisation à Divisions : Opérations, Unité autonome et Groupe produit.

  • Ajout d'un nouveau groupe de sécurité nommé Support technique à Opérations.

  • Ajout d'un nouveau groupe de sécurité nommé AdminsUA à Unité autonome.

  • Ajout d'un nouveau groupe de sécurité nommé EquipeRH à Groupe produit.

Utilisation de l'Assistant Délégation de contrôle

Cette section aborde une tâche que de nombreuses grandes organisations réalisent, à savoir la délégation de l'intégralité du contrôle d'une unité d'organisation à un autre groupe d'administrateurs en partitionnant, de ce fait, le contrôle de l'espace de noms de l'annuaire.

Délégation du contrôle d'une unité d'organisation

Pour déléguer le contrôle d'une unité d'organisation

  1. Sur HQ-CON-DC-01, ouvrez Utilisateurs et ordinateurs Active Directory. Votre structure doit ressembler à celle de la figure 1

    Dd407882.ctrlwi01(fr-fr,TechNet.10).gif

    Figure 1.  Structure d'Active Directory

  2. Dans le volet gauche, cliquez avec le bouton droit sur l'unité d'organisation Divisions, puis cliquez sur Déléguer le contrôle. L'Assistant Délégation de contrôle s'affiche.

  3. Dans la page Bienvenue, cliquez sur Suivant.

  4. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter, sur Avancé, puis sur Rechercher. Accédez à AdminsUA, puis double-cliquez dessus. Cliquez ensuite sur OK. Cliquez sur Suivant pour continuer.

  5. Dans la page Tâches à déléguer, cliquez sur Créer une tâche personnalisée à déléguer. Cette opération vous permet de déléguer le contrôle de l'ensemble du conteneur. Cliquez sur Suivant.

  6. Dans la page Type d'objet Active Directory, cliquez sur De ce dossier et des objets qui s'y trouvent. Déléguer aussi la création de nouveaux objets dans ce dossier (valeur par défaut), puis sur Suivant.

  7. Dans la page Autorisations, cliquez sur Contrôle total pour déléguer l'intégralité du contrôle. Cliquez sur Suivant, puis sur Terminer.

Vérification des autorisations accordées

Vous pouvez consulter les paramètres du contrôle d'accès du groupe AdminsUA afin de vérifier que les autorisations ont été correctement définies.

Pour vérifier les autorisations accordées

  1. Dans le menu Affichage du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez sur Fonctionnalités avancées.

  2. Sous l'unité d'organisation Divisions, accédez à Unité autonome, puis cliquez dessus avec le bouton droit. Cliquez ensuite sur Propriétés.

  3. Sous l'onglet Sécurité, cliquez sur Paramètres avancés. Sous l'onglet Autorisations, notez la liste des autorisations qui s'applique à AdminsUA, comme indiqué dans la figure 2.

    Figure 2.  Vérification des autorisations d'AdminsUA

    Figure 2.  Vérification des autorisations d'AdminsUA

  4. Double-cliquez sur AdminsUA. Un contrôle total de l'unité d'organisation et de ses sous-objets a été attribué, indiquant que les autorisations ont été correctement accordées.

  5. Fermez toutes les fenêtres.

Délégation de la création et de la suppression d'utilisateurs

La procédure suivante décrit la délégation de tâches spécifiques à un groupe de sécurité de référence. Dans cet exemple, EquipeRH (membres du service des Ressources humaines) doit disposer d'autorisations de création ou de suppression de comptes d'utilisateurs pour faciliter son travail. Ce type de délégation représente un niveau secondaire de délégation dans la mesure où le contrôle accordé concerne un sous-ensemble de droits sur un conteneur spécifique. Dans l'exemple précédent, tous les droits sur un conteneur spécifique étaient accordés.

Pour déléguer le contrôle de tâches spécifiques à l'unité d'organisation EquipeRH

  1. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez sur l'unité d'organisation Divisions.

  2. Cliquez avec le bouton droit sur Divisions, puis cliquez sur Déléguerle contrôle. L'Assistant Délégation de contrôle s'affiche. Cliquez sur Suivant.

  3. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter, sur Avancé, puis sur Rechercher. Accédez à EquipeRH, puis double-cliquez dessus. Cliquez ensuite sur OK. Cliquez sur Suivant pour continuer.

  4. Dans la page Tâches à déléguer, sous Déléguer les tâches courantes suivantes, cliquez sur Crée, supprime et gère les comptes d'utilisateurs (première option), comme indiqué dans la figure 3. Cliquez sur Suivant pour continuer.

    Figure 3.  Délégation de tâches spécifiques

    Figure 3.  Délégation de tâches spécifiques

  5. Dans la page de résumé, consultez les paramètres proposés, puis cliquez sur Terminer.

Vérification des autorisations accordées

Pour vérifier les autorisations accordées

  1. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur Divisions, puis cliquez sur Propriétés.

  2. Sous l'onglet Sécurité, cliquez sur Paramètres avancés. Comme indiqué dans la figure 4, les autorisations qui s'appliquent à des objets utilisateur s'affichent, notamment les autorisations accordées à EquipeRH.

    Figure 4.  Vérification des autorisations accordées

    Figure 4.  Vérification des autorisations accordées

  3. Double-cliquez sur la deuxième entrée EquipeRH (Créer/supprimer les objets Utilisateur). Vous pouvez remarquer que les droits Créer des objets Utilisateur et Supprimer des objets Utilisateur ont été accordés avec succès. Notez que ces autorisations s'appliquent à cet objet (unité d'organisation Divisions) et à tous ses objets enfants. Fermez toutes les fenêtres.

Délégation de la réinitialisation des mots de passe de tous les utilisateurs

Cette section développe l'exemple précédent de délégation du contrôle pour des tâches spécifiques afin de détailler une opération courante de support informatique : la réinitialisation des mots de passe. Dans la mesure où la réinitialisation des mots de passe constitue l'une des demandes les plus fréquentes du support informatique, la délégation de son contrôle à un niveau inférieur peut rationaliser le travail du support informatique.

Pour déléguer le contrôle de la réinitialisation des mots de passe au groupe Support technique

  1. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez sur l'unité d'organisation Divisions.

  2. Cliquez avec le bouton droit sur Divisions, puis cliquez sur Déléguerle contrôle. L'Assistant Délégation de contrôle s'affiche. Cliquez sur Suivant.

  3. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter, sur Avancé, puis sur Rechercher. Accédez à Support technique, puis double-cliquez dessus. Cliquez ensuite sur OK. Cliquez sur Suivant pour continuer.

  4. Dans la page Tâches à déléguer, sous Déléguer les tâches courantes suivantes, cliquez sur Réinitialiser les mots de passe utilisateur et forcer le changement de mot de passe à la prochaine ouverture de session, comme indiqué dans la figure 5. Cliquez sur Suivant pour continuer.

    Figure 5.  Délégation de tâches spécifiques

    Figure 5.  Délégation de tâches spécifiques

  5. Dans la page de résumé, consultez les paramètres proposés, puis cliquez sur Terminer.

Délégation du contrôle de tâches personnalisées

Les exemples précédents ont décrit différents niveaux de délégation du contrôle de conteneurs spécifiques d'Active Directory. Des options prédéfinies ont été sélectionnées pour la délégation de tâches spécifiques. L'Assistant Délégation de contrôle offre un niveau supplémentaire de granularité permettant d'affecter des tâches personnalisées à des utilisateurs ou groupes spécifiques. Dans la section suivante, des autorisations de modification d'attributs d'utilisateur spécifiques seront accordées à EquipeRH pour faciliter son travail courant.

Pour accorder à EquipeRH le contrôle de la création et de la suppression d'informations personnelles relatives à un utilisateur dans Active Directory

  1. Dans le volet gauche, cliquez avec le bouton droit sur l'unité d'organisation Divisions, puis cliquez sur Déléguer le contrôle. L'Assistant Délégation de contrôle s'affiche. Cliquez sur Suivant.

  2. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter, sur Avancé, puis sur Rechercher. Accédez à EquipeRH, puis double-cliquez dessus. Cliquez ensuite sur OK. Cliquez sur Suivant pour continuer.

  3. Dans la page Tâches à déléguer, cliquez sur Créer une tâche personnalisée à déléguer. Cette opération vous permet de déléguer le contrôle de l'ensemble du conteneur. Cliquez sur Suivant.

  4. Dans la fenêtre Type d'objet Active Directory, cliquez sur Seulement des objets suivants dans le dossier.

  5. Accédez à la dernière entrée, puis activez la case à cocher Objets USER. Au bas de la fenêtre Type d'objet Active Directory, activez les cases à cocher Créer / Supprimer les objets sélectionnés dans ce dossier. Vérifiez que vos paramètres correspondent à ceux de la figure 6, puis cliquez sur Suivant pour continuer.

    Figure 6.  Création d'une délégation personnalisée

    Figure 6.  Création d'une délégation personnalisée

  6. Dans la page Autorisations, assurez-vous que la case à cocher Général est activée (valeur par défaut). Accédez à la case à cocher Lire et écrire Informations personnelles, puis activez-la, comme indiqué dans la figure 7.

Remarque : L'activation de la case à cocher relative à la propriété offre un niveau de détail supplémentaire à l'échelle de l'attribut. Par exemple, si vous souhaitez que EquipeRH puisse uniquement modifier l'adresse postale d'un utilisateur, il vous suffit de sélectionner l'attribut correspondant.

![Figure 7.  Création d'une délégation personnalisée - Affectation de droits spécifiques](images/Dd407882.ctrlwi07(fr-fr,TechNet.10).gif "Figure 7.  Création d'une délégation personnalisée - Affectation de droits spécifiques")

**Figure 7.  Création d'une délégation personnalisée - Affectation de droits spécifiques**

  1. Cliquez sur Suivant pour continuer.

  2. Dans la page de résumé, consultez les paramètres proposés, puis cliquez sur Terminer.

Autres ressources

Pour obtenir les dernières informations concernant Windows Server 2003, consultez ce site Web