Lorsque vous créez un compte pour l’installation d’un contrôleur de domaine en lecture seule, vous pouvez spécifier l’utilisateur ou le groupe qui sera ensuite chargé de joindre le serveur au compte du contrôleur de domaine en lecture seule. Si vous ne spécifiez aucun utilisateur ou groupe, seul un membre du groupe Admins du domaine ou du groupe Administrateurs de l’entreprise sera en mesure de joindre le serveur au compte. Si vous désignez un utilisateur ou un groupe pouvant joindre le serveur au compte, cet utilisateur ou groupe sera également chargé de l’administration du contrôleur de domaine une fois l’installation terminée. Vous ne pouvez spécifier à cette fin qu’un seul utilisateur ou groupe.
Si vous voulez qu’un administrateur de contrôleur de domaine en lecture seule délégué puisse mettre des mots de passe en cache sur le contrôleur de domaine, vous devez ajouter le compte d’utilisateur de cet administrateur à la liste d’entités de sécurité autorisées à mettre en cache leurs mots de passe sur le contrôleur de domaine en lecture seule (également appelée Liste autorisée), ainsi que le compte d’ordinateur qui sera utilisé par l’administrateur délégué. Si vous n’ajoutez pas le compte d’ordinateur correspondant à la Liste autorisée, le contrôleur de domaine en lecture seule ne pourra pas authentifier l’administrateur délégué en cas d’indisponibilité de la connexion à un contrôleur de domaine accessible en écriture. Pour plus d’informations sur la Liste autorisée et la définition de la stratégie de réplication de mot de passe, voir Spécification de la stratégie de réplication de mot de passe.
L’utilisateur ou le groupe que vous spécifiez dans cette page de l’Assistant Installation des services de domaine Active Directory disposera d’autorisations d’administration locales sur le contrôleur de domaine en lecture seule. Dans la pratique, cela signifie que l’utilisateur ou le groupe aura le contrôle total du serveur, ce qui inclut la capacité d’ouvrir une session locale, d’installer des logiciels supplémentaires, d’installer des pilotes de périphériques, etc. L’utilisateur ou le groupe délégué sera également en mesure de supprimer les services de domaine Active Directory (AD DS) du contrôleur de domaine en lecture seule.
Par conséquent, ne déléguez l’installation et l’administration des contrôleurs de domaine en lecture seule qu’aux utilisateurs et groupes qui doivent disposer de ces droits d’accès et de ces autorisations pour pouvoir faire leur travail. En outre, affectez des autorisations à des groupes de sécurité plutôt qu’à des utilisateurs individuels afin de simplifier, le cas échéant, le processus de modification de ces autorisations.
Vous pouvez créer un groupe de sécurité spécifiquement dans le but d’administrer le contrôleur de domaine en lecture seule que vous allez déployer, puis spécifier le nom du groupe dans cette page de l’Assistant. Ce groupe apparaît ensuite dans le champ Nom sous l’onglet Géré par de la feuille de propriétés du contrôleur de domaine en lecture seule dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, où vous pouvez le modifier à tout moment après l’installation.
Pour rechercher un utilisateur ou un groupe spécifique dans l’annuaire, cliquez sur Définir, puis tapez le nom de l’utilisateur ou du groupe. Il est recommandé de déléguer l’installation et l’administration des contrôleurs de domaine en lecture seule à un groupe.