Compte pour lire AD, joindre une machine au domaine, supprimer des comptes d'ordinateurs et déplacer des ordinateurs vers des OU

Windows Server & IT Pro Active Directory & Entra ID
1

Je veux créer un compte qui effectuera les opérations suivantes :

  • Joindre des ordinateurs à un domaine (sans la restriction de 10, comme un utilisateur normal)

  • Vérifier les comptes d’ordinateurs dupliqués

  • Supprimer des comptes d’ordinateurs

  • Déplacer des ordinateurs vers des OU

2

J’ai dû configurer cela récemment moi-même. Nous avons du code personnalisé qui fait le pré-provisionnement des ordinateurs pour les nouveaux PC lorsqu’ils démarrent en PXE et exécutent notre tâche de déploiement.

Voici les permissions que j’ai déléguées à un compte de service dédié :

  • Créer/Supprimer des objets ordinateur dans l’OU cible
  • Écrire toutes les propriétés sur les objets ordinateur
  • Réinitialiser le mot de passe sur les objets ordinateur
  • Lecture validée du nom d’hôte DNS
  • Écriture validée du nom d’hôte DNS
  • Lecture/Écriture de l’attribut servicePrincipalName

Utilisez l’assistant de délégation de contrôle dans ADUC ou dsacls pour configurer ces permissions.