Ajouter un objet temporairement à un groupe AD

Lorsque tu utilises l'Active Directory, il peut être nécessaire d'ajouter temporairement un utilisateur à un groupe. Cette possibilité est rendue possible grâce à la fonctionnalité Privileged Access Mmanagement.

Cet article présente les différentes façons d'ajouter un utilisateur pour une durée d'une heure dans un groupe.

Bien que l'article se concentre sur un utilisateur, il est possible d'ajouter tout type d'objet de manière temporaire.

Avec Add-ADGroupMember

Add-ADGroupMember -Identity "MyGroup1" -Members "Bastien" -MemberTimeToLive (New-TimeSpan -Hours 1)

Avec  Set-ADObject

Le membre doit être de la forme <TTL=xxxx,DNObject>.

Set-ADObject -Identity "CN=MyGroup,<resteduDN>" -Add @{'member'="<TTL=3600,CN=bastien,<resteDuDn>"}

Avec LDAP/LDIF

Le membre doit être de la forme <TTL=xxxx,DNObject>. Cependant si tu utilises LDIF, tu dois en plus encoder en base 64.

Tu peux utiliser PowerShell pour convertir en base 64 :

$text = "<TTL=xxx,CN=xx,OU=Users,DC=domain,DC=com>"
System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($text))

Le fichier LDIF doit ressembler à ça (attention une valeur base64 doit être précédé de deux :)

CN=MyGroup1,OU=Groups,OU=ITProTips,DC=ad,DC=itprotips,DC=com
changetype: modify
add: member
member:: valeurenbase64
-

Note : member est précédé de deux : car c'est la norme de la base 64 (voir https://ldap.com/ldif-the-ldap-data-interchange-format/).