Windows

Empêcher les utilisateurs de rejoindre le domaine

By Thomas GROLLEAU

Dans un contexte où la sécurité des systèmes Active Directory est au cœur des préoccupations IT, savoir empêcher les utilisateurs de rejoindre le domaine devient essentiel. Cette opération évite l’ajout sauvage d’ordinateurs potentiellement compromis et limite la surface d’attaque.

En modifiant la stratégie GPO, l’attribut ms-DS-MachineAccountQuota et en mettant en place une délégation fine, il est possible de garder un contrôle total sur l’adhésion des machines au domaine.

À retenir :

  • Modifier la GPO pour retirer les utilisateurs authentifiés du droit d’ajouter des ordinateurs.
  • Définir ms-DS-MachineAccountQuota à 0 pour bloquer les jonctions non autorisées.
  • Créer un groupe délégué pour gérer l’ajout sécurisé des machines.

Comprendre le comportement par défaut de l’attribut ms-DS-MachineAccountQuota

« Peu de responsables IT savent que chaque utilisateur peut, par défaut, joindre 10 machines au domaine. »

Michel Laurent, administrateur réseau

Par défaut, dans un environnement Active Directory, tout utilisateur authentifié peut rejoindre un domaine jusqu’à 10 fois. Cela est permis par l’attribut ms-DS-MachineAccountQuota, dont la valeur par défaut est fixée à 10. Cette configuration, rarement modifiée, ouvre pourtant une brèche de sécurité.

Un collaborateur malveillant ou mal informé pourrait, en toute légitimité, connecter un ordinateur vérolé au domaine et compromettre l’infrastructure.

Tableau des paramètres par défaut favorisant l’ajout non contrôlé

Élément concernéComportement par défautRisques potentiels
ms-DS-MachineAccountQuotaAutorise 10 jonctions par utilisateurMachines inconnues dans le domaine
Droit GPO : Ajouter stationAttribué à « Utilisateurs authentifiés »Ajout libre sans supervision
Absence de délégation cibléeTous les utilisateurs peuvent agirFailles dans la gouvernance IT

Modifier les GPO pour restreindre le droit d’ajout au domaine

« La GPO est souvent sous-estimée, alors qu’elle permet de verrouiller proprement l’accès au domaine. » — Aline Bérard, responsable sécurité informatique

A lire également :  Comment arrêter les mises à jour de Windows 11 en cours

L’une des méthodes les plus fiables pour empêcher les utilisateurs de rejoindre le domaine est de modifier la stratégie locale de sécurité (GPO) sur les contrôleurs de domaine.

Étapes à suivre pour restreindre via GPO

  • Ouvrir la console GPMC sur un contrôleur de domaine.
  • Aller dans :
    Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur.
  • Cliquer sur Ajouter des stations de travail au domaine.
  • Supprimer le groupe « Utilisateurs authentifiés ».
  • Ajouter uniquement « Admins du domaine » ou un groupe IT spécifique.

Cette modification GPO renforce la sécurité Active Directory en s’assurant que seuls les profils autorisés pourront joindre un poste au domaine.

Réduire à zéro les droits avec l’attribut ms-DS-MachineAccountQuota

« Un seul chiffre peut tout changer. Mettez la valeur à zéro, et vous reprenez le contrôle. »

Pierre Maurel, consultant AD

Une méthode complémentaire et radicale consiste à modifier l’attribut ms-DS-MachineAccountQuota à 0 :

Comment procéder :

  • Lancer ADSI Edit (Outils d’administration > ADSI Edit).
  • Se connecter au contexte de nommage du domaine.
  • Trouver la racine du domaine, clic droit > Propriétés.
  • Rechercher ms-DS-MachineAccountQuota et passer la valeur de 10 à 0.

Cela empêche tous les utilisateurs standards d’ajouter une machine, sauf si une délégation est mise en place.

Déléguer proprement l’ajout d’ordinateurs via un groupe AD spécifique

« Déléguer, c’est maîtriser. Sans contrôle, il n’y a pas de sécurité. »

Sophie Lemoine, architecte système

Une bonne pratique dans les grandes organisations est de créer un groupe de sécurité spécifique dans Active Directory et de lui déléguer le droit d’ajout de machines :

Mise en œuvre de la délégation

  • Créer un groupe : Admins PC Locaux.
  • Ouvrir la console « Utilisateurs et ordinateurs Active Directory ».
  • Clic droit sur l’OU cible (ex. « Computers ») > Délégation de contrôle.
  • Ajouter le groupe créé.
  • Sélectionner Création/Suppression d’objets ordinateur.
  • Valider et appliquer.
A lire également :  Peut-on exécuter un logiciel Windows sur un Mac M1 ou M2 ?

Cette approche permet d’organiser la responsabilité, tout en répondant aux normes de sécurité et de gouvernance des systèmes d’information.

Que sont les serveurs de catalogue global Active Directory ?

Tableau des avantages de la délégation par groupe

AvantageDétail concret
Visibilité sur les actionsOn sait qui ajoute les ordinateurs
Respect des politiques internesConformité avec les normes ISO ou RGPD
Réduction du risque d’intrusionMachines filtrées par le groupe autorisé
Facilité de gestionAjout de membres sans reconfigurer les GPO

Et vous, quelles techniques appliquez-vous pour empêcher les utilisateurs de rejoindre le domaine ? Partagez votre retour d’expérience en commentaire !

Modifié le 26/07/2025

Laisser un commentaire