> For the complete documentation index, see [llms.txt](https://docs.devolutions.net/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.devolutions.net/pam/fr/knowledge-base/how-to-articles/least-privileges-for-active-directory-providers.md). # Moindres privilèges pour les fournisseurs Active Directory Devolutions Server permet [l'élévation de groupe juste-à-temps (JIT)](https://docs.devolutions.net/fr/pam/kb/how-to-articles/least-permission-jit-group-elevation/#jit-group-elevation) et la [rotation des mots de passe](https://docs.devolutions.net/fr/pam/concepts/password-rotation/) en utilisant un compte Active Directory comme fournisseur PAM. Lisez les instructions ci-dessous pour savoir comment déléguer le contrôle audit fournisseur PAM dans la console Utilisateurs et ordinateurs Active Directory (ADUC). {% hint style="info" %} Pour gérer les comptes d'administrateur de domaine en tant que comptes privilégiés dans le module PAM, vous devez accorder au compte fournisseur AD PAM l'accès à l'objet **AdminSDHolder**. Pour les étapes détaillées, consultez [Creating Management Accounts for Protected Accounts and Groups in Active Directory](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/component-updates/appendix-i--creating-management-accounts-for-protected-accounts-and-groups-in-active-directory?source=recommendations). {% endhint %} ### Élévation de groupe JIT 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory (ADUC). 2. Faites un clic droit sur l'unité organisationnelle (OU) contenant les groupes des comptes privilégiés (ou sur un niveau d'OU supérieur pour englober toutes les OU dans lesquelles le compte fournisseur PAM doit pouvoir modifier les appartenances aux groupes), puis sélectionnez ***Delegate Control...*** {% hint style="info" %} Veillez à répéter ces étapes pour l'OU dans laquelle les groupes temporaires sont créés. {% endhint %}
3. Dans l'Assistant Délégation de contrôle, cliquez sur ***Suivant*** pour accéder à la boîte de dialogue ***Users or Groups***. Cliquez sur ***Ajouter*** ou sélectionnez le compte à utiliser comme compte fournisseur PAM dans Devolutions Server. ![](https://cdnweb.devolutions.net/docs/INTERFACE2087.png) 4. Entrez le nom de l'objet à sélectionner, puis cliquez sur ***Check Names***. Cliquez sur ***OK*** pour confirmer. ![](https://cdnweb.devolutions.net/docs/INTERFACE2088.png) 5. Cliquez sur ***Suivant***. ![](https://cdnweb.devolutions.net/docs/INTERFACE2089.png) 6. Dans ***Tasks to Delegate***, sélectionnez ***Create a custom task to delegate***, puis cliquez sur ***Suivant***. ![](https://cdnweb.devolutions.net/docs/INTERFACE2090.png) 7. Dans ***Active Directory Object Type***, sélectionnez ***Only the following objects in the folder***, puis cochez l'élément ***Group objects***. Ensuite, cochez les deux cases ***Create selected objects in this folder*** et ***Delete selected objects in this folder***, puis cliquez sur ***Suivant***. ![](https://cdnweb.devolutions.net/docs/INTERFACE2096.png) 8. Dans ***Autorisations***, cochez uniquement la case ***Property-specific***. Trouvez et activez l'autorisation ***Write Members***, puis cliquez sur ***Suivant***. ![](https://cdnweb.devolutions.net/docs/INTERFACE2092.png) 9. Vérifiez que l'autorisation correcte a été déléguée, puis cliquez sur ***Finish*** pour terminer le processus. ![](https://cdnweb.devolutions.net/docs/INTERFACE2095.png) ### Rotation des mots de passe 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory (ADUC). 2. Faites un clic droit sur l'unité organisationnelle (OU) contenant les comptes privilégiés (ou sur un niveau d'OU supérieur pour englober toutes les OU dans lesquelles le compte fournisseur PAM doit pouvoir effectuer la rotation des mots de passe des comptes), puis sélectionnez ***Delegate Control...*** ![](https://cdnweb.devolutions.net/docs/INTERFACE2097.png) 3. Dans l'Assistant Délégation de contrôle, cliquez sur ***Suivant*** pour accéder à la boîte de dialogue ***Users or Groups***. Cliquez sur ***Ajouter*** ou sélectionnez le compte à utiliser comme compte fournisseur PAM dans Devolutions Server. ![](https://cdnweb.devolutions.net/docs/INTERFACE2087.png) 4. Entrez le nom de l'objet à sélectionner, puis cliquez sur ***Check Names***. Cliquez sur ***OK*** pour confirmer. ![](https://cdnweb.devolutions.net/docs/INTERFACE2088.png) 5. Cliquez sur ***Suivant***. ![](https://cdnweb.devolutions.net/docs/INTERFACE2089.png) 6. Dans ***Tasks to Delegate***, sélectionnez ***Create a custom task to delegate***, puis cliquez sur ***Suivant***. ![](https://cdnweb.devolutions.net/docs/INTERFACE2090.png) 7. Dans ***Active Directory Object Type***, sélectionnez ***Only the following objects in the folder***, puis cochez l'élément ***User objects***. Ensuite, cochez les deux cases ***Create selected objects in this folder*** et ***Delete selected objects in this folder***, puis cliquez sur ***Suivant***. ![](https://cdnweb.devolutions.net/docs/INTERFACE2091.png) 8. Dans ***Autorisations***, cochez les deux cases ***Général*** et ***Property-specific***. Trouvez et activez les autorisations suivantes, puis cliquez sur ***Suivant***. * ***Change password*** * ***Reset password*** * ***Read lockout Time*** * ***Write lockout Time*** * ***Read pwdLastSet*** * ***Write PwdLastSet*** * ***Read userAccountControl*** * ***Write userAccountControl*** ![](https://cdnweb.devolutions.net/docs/INTERFACE2093.png) 9. Vérifiez que les autorisations correctes ont été déléguées, puis cliquez sur ***Finish*** pour terminer le processus. ![](https://cdnweb.devolutions.net/docs/INTERFACE2094.png) {% hint style="info" %} La fonctionnalité de rotation des mots de passe utilise les règles de mot de passe intégrées par défaut de Devolutions Server. Pour appliquer des règles de mot de passe spécifiques au domaine, créez une politique de mot de passe personnalisée sous ***Administration – Password policies***, puis définissez-la comme modèle de mot de passe par défaut dans ***Administration*** – ***Paramètres système*** – ***Password management*** – ***Password policies***. {% endhint %} --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.devolutions.net/pam/fr/knowledge-base/how-to-articles/least-privileges-for-active-directory-providers.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.