Il est possible d’utiliser des GPOs pour déléguer la gestion par exemple la gestion de certaines machines ou de l’Active Directory.
Déléguer l’adminstration de machines
Pour définir certains groupes d’utilisateurs comme administrateur·ice·s locaux sur certaines machines on peut créer une nouvelle GPO à lier à une OU d’ordinateurs.
Le paramètre à changer est : Computer Configuration > Policies > Windows Settings > Security Settings > Restricted Groups > Clic droit > Add Group > Browse puis spécifier le groupe AD en question (par exemple catAdminitratif) puis ajouter dans “This group is a member of” le groupe Administrators.
Déléguer certaines tâches d’Active Directory
Pour déléguer certaines tâches de gestion de l’active directory à certains groupes, il faut aller dans l’outil Active Directory Users and Computers puis faire clic drot sur l’OU dont on veut déléguer le contrôle, puis sélectionner Delegate Control et suivre les étapes.
Enfin pour visualiser, modifier ou supprimer les autorisations, on peut faire un clic droit sur l’OU puis aller dans Properties > Security > Advanced.
A savoir que le menu “Security” ne s’affiche que lorsque la vue avancée est activée (View > Advanced Features).