Objectifs¶

Le compte eole-workstation-manager a trop de droits. Il faut le rendre utilisateur basique.

Il faut modifier les droits de délégation du CN Computer pour que ce compte puisse créer les Objets Computer au moment de la jonction.

Rappel procédure manuelle RSAT¶

• Dans ADUC
• Pour autoriser l'ajout d'ordinateurs dans l'CN "Computers", effectuez un clic droit dessus et cliquez sur "Delegate Control" (Délégation de contrôle)
• Ajoutez le compte utilisateur 'eole-workstation-manager' pour lequel vous souhaitez ajouter l'autorisation/délégation de droit.On peut utiliser un groupe de sécurité.
• Add
• Créer une délégation spécifique, choisissez "Create a custom task to delegate"
• Suivant
• Cochez la case "Only the following objectifs in the folder" pour autoriser uniquement la création d'objets de type "ordinateurs"
• Cochez "Computer objects"
• Cochez "Create selected objects in this folder" pour autoriser la création de objets de ce type
• Suivant
• Au niveau des permissions à déléguer, il est nécessaire de cocher
• - "General"
• - "Creation/deletion of specific child objects"
• - "Create All Child Objects"
• Suivant
• Finish

Equivalent script¶

• wbinfo --name-to-sid=eole-workstation-manager -> SID_ACCOUNT_JONCTION
• COMPUTER_OBJECT="{BF967A86-0DE6-11D0-A285-00AA003049E2}"
• APPLICATION_VERSION="ddc790ac-af4d-442a-8f0f-a1d4caa7dd92"
• samba-tool dsacl set --objectdn "CN=Computers,$BASEDN" --sddl "ARAI(OA;CIIO;CC;${APPLICATION_VERSION};${COMPUTER_OBJECT};${SID_ACCOUNT_JONCTION})(OA;CIIO;CC;;${COMPUTER_OBJECT};${SID_ACCOUNT_JONCTION})"

Pour vérifier¶

• Le compte eole-workstation-manager doit être un compte sans droits
• Démarrer un PC + renommage + ip dns
• Joindre au domain avec le compte eole-workstation-manager (et mdp /etc/eole/private/eole-workstation-manager.password)
• Je jonction se passe bien...

Documentations¶

• https://docs.microsoft.com/fr-fr/windows/win32/adschema/c-computer
• https://docs.microsoft.com/fr-fr/windows/win32/adschema/c-applicationversion