Photo by Aron Visuals / Unsplash
Ajouter un objet temporairement à un groupe AD

Ajouter un objet temporairement à un groupe AD

Published on 29 Aug 2023

Bastien Perez
Bastien Perez

Clap

Lorsque tu utilises l'Active Directory, il peut être nécessaire d'ajouter temporairement un utilisateur à un groupe. Cette possibilité est rendue possible grâce à la fonctionnalité Privileged Access Management.

Cet article présente les différentes façons d'ajouter un utilisateur pour une durée d'une heure dans un groupe.

Bien que l'article se concentre sur un utilisateur, il est possible d'ajouter tout type d'objet de manière temporaire.

Avec Add-ADGroupMember

Add-ADGroupMember -Identity "MyGroup1" -Members "Bastien" -MemberTimeToLive (New-TimeSpan -Hours 1)

Avec Set-ADObject

Le membre doit être de la forme <TTL=xxxx,DNObject>.

Set-ADObject -Identity "CN=MyGroup,<resteduDN>" -Add @{'member'="<TTL=3600,CN=bastien,<resteDuDn>"}

Avec LDAP/LDIF

Le membre doit être de la forme <TTL=xxxx,DNObject>. Cependant si tu utilises LDIF, tu dois en plus encoder en base 64.

Tu peux utiliser PowerShell pour convertir en base 64 :

$text = "<TTL=xxx,CN=xx,OU=Users,DC=domain,DC=com>"
System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($text))

Le fichier LDIF doit ressembler à ça :

CN=MyGroup1,OU=Groups,OU=ITProTips,DC=ad,DC=itprotips,DC=com
changetype: modify
add: member
member:: valeurenbase64
-

Note : member est précédé de deux : car c'est la norme de la base 64 (voir https://ldap.com/ldif-the-ldap-data-interchange-format/).

Comments

banner-Bastien Perez
Bastien Perez

Freelance Microsoft 365 - Active Directory - Modern Workplace

France