(2 vote(s), 
Loading...J'avais mis de côté cette vidéo de Florian d'it-connect, qui présente le fonctionnement de groupe AD "temporaires". Ou plutôt : comment être temporairement membre d'un groupe (le groupe lui continuera d'exister).
Plutôt que d'ajouter un utilisateur définitivement membre d'un groupe il peut être utile de plutôt utilise de l'ajouter temporairement :
Pré-requis : une forêt Windows Server 2016 minimum et l'activation de la fonctionnalité "Temporary Group Membership" (processus irréversible)
Une intégration GUI bâclée
On déplorera une intégration incomplète dans les propriétés du compte en mode dsa.msc. En effet rien n'indique qu'il s'agit d'une appartenance temporaire à un groupe pour un utilisateur donné. Il faudra passer par PowerShell pour à la fois définir cette appartenance et constater son délai d'expiration.
Pour qui, pourquoi ?
Cela répond à un besoin ponctuel et particulier et on préférera de loin une politique RBAC. Mais si cela peut éviter de laisser Kévin, le stagiaire, membre d'un groupe de super utilisateur trop longtemps, why not.
Cela peut aussi être utile pour les sysadmins afin qu'ils puissent se mettre dans les mêmes conditions d'appartenance qu'un groupe utilisateur pour reproduire un problème. L'expiration automatique supprimera l'utilisateur de ces groupes, ce qui évitera d'oublier de le faire manuellement 🙂
Merci Florian pour ce tuto vidéo
2 commentaires
C'est la fonction Just In Time, c'est l'ajout temporaire dans un groupe plutôt que la notion de groupe temporaire.
Le groupe reste permanent mais la présence du compte dans le groupe comme les plaisirs d'amour ne dure qu'un instant.
@Francois DUNOYER: merci pour la précision François j'ai modifié le titre pour que ce soit plus clair 👍