Lorsque tu utilises l'Active Directory, il peut être nécessaire d'ajouter temporairement un utilisateur à un groupe. Cette possibilité est rendue possible grâce à la fonctionnalité Privileged Access Management.
Cet article présente les différentes façons d'ajouter un utilisateur pour une durée d'une heure dans un groupe.
Bien que l'article se concentre sur un utilisateur, il est possible d'ajouter tout type d'objet de manière temporaire.
Avec Add-ADGroupMember
Add-ADGroupMember -Identity "MyGroup1" -Members "Bastien" -MemberTimeToLive (New-TimeSpan -Hours 1)
Avec Set-ADObject
Le membre doit être de la forme <TTL=xxxx,DNObject>
.
Set-ADObject -Identity "CN=MyGroup,<resteduDN>" -Add @{'member'="<TTL=3600,CN=bastien,<resteDuDn>"}
Avec LDAP/LDIF
Le membre doit être de la forme <TTL=xxxx,DNObject>
. Cependant si tu utilises LDIF, tu dois en plus encoder en base 64.
Tu peux utiliser PowerShell pour convertir en base 64 :
$text = "<TTL=xxx,CN=xx,OU=Users,DC=domain,DC=com>"
System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($text))
Le fichier LDIF doit ressembler à ça :
CN=MyGroup1,OU=Groups,OU=ITProTips,DC=ad,DC=itprotips,DC=com
changetype: modify
add: member
member:: valeurenbase64
-
Note : member est précédé de deux :
car c'est la norme de la base 64 (voir https://ldap.com/ldif-the-ldap-data-interchange-format/).
Clap
Comments