Nous restreignons l’exécution d’exe dans toute l’organisation. Mais selon les justifications et approbations, nous ajoutons des utilisateurs à des groupes AD (spécifiques) pour 24 heures.
Actuellement, le processus de retrait des utilisateurs de ces groupes AD après X heures est manuel. J’essaie de l’automatiser d’une manière ou d’une autre. Mais je me demandais s’il existe un moyen natif de gérer cela dans AD 2003. Est-ce que l’écriture d’un script (PowerShell / VBS) est le seul moyen de gérer cela ?
En supposant que tous vos contrôleurs de domaine sont Windows Server 2003 ou ultérieur, vous pouvez le faire avec la fonctionnalité native des objets dynamiques d’Active Directory sans aucun script.
Supposons que le compte utilisateur « Bob » doive être dans le groupe « Comptabilité » pendant 24 heures.
Créez un groupe « Bob dans Comptabilité 24 heures » et spécifiez un entry-TTL de 24 heures (la durée pendant laquelle vous voulez que le groupe reste dans Active Directory) au moment de la création.
Ajoutez « Bob dans Comptabilité 24 heures » comme membre du groupe « Comptabilité »
Ajoutez le compte utilisateur « Bob » comme membre du groupe « Bob dans Comptabilité 24 heures »
Lors de la prochaine connexion du compte utilisateur « Bob », il sera membre du groupe « Comptabilité » via l’appartenance imbriquée du groupe « Bob dans Comptabilité 24 heures » dans le groupe « Comptabilité ». À la fin des 24 heures, tous les contrôleurs de domaine collecteront le groupe « Bob dans Comptabilité 24 heures » et « Bob » ne sera plus membre de « Comptabilité ».
L’astuce est que les objets non dynamiques ne peuvent pas être convertis en dynamiques après leur création. L’utilisation de l’imbrication de groupes vous permet cependant de contourner cette limitation dans ce cas.
Vous devrez utiliser un outil autre que « Utilisateurs et ordinateurs Active Directory » pour créer le groupe car vous devrez définir le entry-TTL au moment de la création du groupe. Le script de cet article de blog pourrait être un point de départ (il est conçu pour créer des objets utilisateur) ou, alternativement, vous pourriez simplement utiliser ldifde ou csvde pour la création.