Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Appartenance temporaire à un groupe AD

ayi

Nous restreignons l’exécution d’exe dans toute l’organisation. Mais selon les justifications et approbations, nous ajoutons des utilisateurs à des groupes AD (spécifiques) pour 24 heures.
Actuellement, le processus de retrait des utilisateurs de ces groupes AD après X heures est manuel. J’essaie de l’automatiser d’une manière ou d’une autre. Mais je me demandais s’il existe un moyen natif de gérer cela dans AD 2003. Est-ce que l’écriture d’un script (PowerShell / VBS) est le seul moyen de gérer cela ?
<hr>
Source : <a href="http://msdn.microsoft.com/en-us/library/ms676291(v=vs.85).aspx" rel="noopener nofollow ugc">Server Fault</a>

ayi_2

En supposant que tous vos contrôleurs de domaine sont Windows Server 2003 ou ultérieur, vous pouvez le faire avec la fonctionnalité native des <a href="http://msdn.microsoft.com/en-us/library/ms676291(v=vs.85).aspx">objets dynamiques</a> d’Active Directory sans aucun script.
Supposons que le compte utilisateur « Bob » doive être dans le groupe « Comptabilité » pendant 24 heures.
<ul>
<li></li>
</ul>
Créez un groupe « Bob dans Comptabilité 24 heures » et spécifiez un <a href="http://msdn.microsoft.com/en-us/library/ms675669(v=vs.85).aspx"><code>entry-TTL</code></a> de 24 heures (la durée pendant laquelle vous voulez que le groupe reste dans Active Directory) au moment de la création.
<ul>
<li></li>
</ul>
Ajoutez « Bob dans Comptabilité 24 heures » comme membre du groupe « Comptabilité »
<ul>
<li></li>
</ul>
Ajoutez le compte utilisateur « Bob » comme membre du groupe « Bob dans Comptabilité 24 heures »
Lors de la prochaine connexion du compte utilisateur « Bob », il sera membre du groupe « Comptabilité » via l’appartenance imbriquée du groupe « Bob dans Comptabilité 24 heures » dans le groupe « Comptabilité ». À la fin des 24 heures, tous les contrôleurs de domaine collecteront le groupe « Bob dans Comptabilité 24 heures » et « Bob » ne sera plus membre de « Comptabilité ».
L’astuce est que les objets non dynamiques ne peuvent pas être convertis en dynamiques après leur création. L’utilisation de l’imbrication de groupes vous permet cependant de contourner cette limitation dans ce cas.
Vous devrez utiliser un outil autre que « Utilisateurs et ordinateurs Active Directory » pour créer le groupe car vous devrez définir le <code>entry-TTL</code> au moment de la création du groupe. Le <a href="http://activelydirect.blogspot.com/2011/03/creating-dynamic-user-objects-in-active.html">script de cet article de blog</a> pourrait être un point de départ (il est conçu pour créer des objets utilisateur) ou, alternativement, vous pourriez simplement utiliser <code>ldifde</code> ou <code>csvde</code> pour la création.