Comment automatiser ses comptes utilisateur sur Active Directory ?

Articles
>
Automatisation ITSM
>
Comment automatiser ses comptes utilisateur sur Active Directory ?

Active Directory, votre annuaire utilisateurs, puissant outil mais aussi très complexe ! Vous rêvez surement d’automatiser certaines tâches récurrentes comme la création d’un compte, sa configuration, sa gestion de droits et sa suspension ?

Tout administrateur système et réseau aimerait une baguette magique pour éviter de devoir créer des scripts avancés dans PowerShell pour réaliser ces actions répétitives.

Du coup, vous voilà parti à la recherche de cet outil, cette solution qui vous éviterait des heures de programmation/scripting.

Avant d’aller plus loin, si vous souhaitez en savoir plus sur Active Directory, c’est par ici 😉

Pourquoi automatiser ses actions sur l'AD ?

Je pense qu’il faut partir sur les mêmes bases, pourquoi vouloir automatiser ces actions de création, suspension… ?

Prenons un peu de hauteur : il ne s’agit pas de trouver le meilleur script mais surtout de voir la finalité de l’action : on cherche à automatiser pour apporter une satisfaction optimale à une nouvelle personne qui arrive dans une entreprise (ça s’appelle le onboarding et c’est très à la mode).

L’objectif derrière tous ces scripts est bien humain. Vous avez une demande qui arrive souvent du service ressources humaines avec des informations (plus ou moins complètes) sur cette recrue : son nom, prénom, sa date d’arrivée, éventuellement de départ, son statut et les outils dont elle va avoir besoin.

Cela implique ensuite qu’une personne à l’informatique reçoive et réalise ces paramétrages et créations et bien sûr c’est à ce moment là qu’intervient ce besoin d’automatiser via des scripts. Ce qui est recherché :

  • gagner du temps au service informatique
  • éviter les erreurs (même en faisant du copier / coller on peut se tromper)
  • répondre à une demande de façon optimale
  • sécuriser et maîtriser son système d’information

Quelle méthode choisir ?

Il existe donc la méthode dure qui est de créer des scripts dans son PowerShell pour automatiser certaines tâches et pour cela il y a de nombreux tutos qui vous aideront à écrire tout cela comme sur Openclassrooms ou Github. Ils sont très bien faits et nous n’allons pas faire mieux alors nous passons cette solution.

Nous passons donc à des applications tiers qui pourraient vous aider à réaliser cette automatisation. Nous recherchons donc un logiciel de gestion des accès au système d’information autrement dit une solution d’IAM. Peut-être avez-vous déjà entendu ce terme mais je vais vous le résumer. C’est un ensemble de processus mis au sein d’une entreprise et plus précisément du service informatique pour gouverner les habilitations des utilisateurs afin de gérer l’accès au réseau et aux applications.

Cela englobe donc cette partie création, attribution et suspension des comptes.

Vous allez, à partir de ce moment, pouvoir trouver des choses plus ou moins complexes mais dans votre cas, partez sur quelque chose de simple, paramétrable et intuitif. Pourquoi ? Si vous étiez à la recherche d’un gros outil d’IAM vous ne seriez pas tomber sur cet article ^^
Vous avez besoin de soulager ce point et de l’automatiser : la création des comptes.

Comment fonctionne une application tiers ?

Une application tiers va faire le lien entre votre Active Directory et sa plateforme. Vous allez pouvoir connecter votre AD avec un agent qui joue le rôle de proxy afin de retrouver de façon claire et lisible l’ensemble des comptes présents dedans. On passe à peu près de ça

lecture-active-directory

à ça

unité active sur Active Directory

Une fois que vous avez vos comptes clairement affichés avec les adresses mails et le statut actif ou inactifs vous pouvez passer à l’étape suivante qui est automatiser la création de comptes.

Vous paramétrez votre connecteur Active Directory une fois, dans lequel vous entrez le format des mails, du SamAccountName, de l’UPN, des groupes de sécurité…

Puis vous créer le compte :

  • Soit vous renseignez à la main les informations de la personne que vous souhaitez ajouter
  • Soit vous envoyez un formulaire aux managers, RH ou autre et vous recevez toutes les informations pour créer automatiquement un compte
  • Soit vous connectez votre SIRH à la plateforme de gestion des comptes et des identités et vous recevez automatiquement les informations des arrivées et départs des collaborateurs

La dernière solution vous simplifie grandement la tâche parce que, comme vous le constatez vous automatisez aussi la partie utilisateur.

Ensuite il suffit simplement d’ajouter un compte Active Directory en cliquant sur un bouton et c’est fait !

Sur le long terme un IAM ou des scripts ?

Je n’ai pas posé la question sur le court terme car il est peu probable que vous soyez à la recherche d’automatisation pour un « one shot ». Cette recherche de gain de temps et de réduction d’erreur est bien un besoin qui se pose sur le long terme.

Alors une plateforme de gestion des identités et des accès ou des scripts sur PowerShell ? Les scripts vont répondre à un besoin très précis qui est d’automatiser la création des comptes. Ils ne pourront pas aller au-delà de leur fonction. Ils ont l’avantage d’être ‘gratuits’ et réalisables en interne. Je mets gratuit entre guillemets car ils représentent des compétences à avoir en interne, du temps de recherche et de mise en place.

Une solution d’IAM a cet avantage de répondre à plusieurs problématiques et de pousser plus loin votre réflexion première qui est la simple création de comptes.

Plusieurs sujets rentrent en compte, plus que le simple gain de temps.

  • Il y a la satisfaction des collaborateurs qui est un véritable enjeu pour les RH mais récemment, aussi pour l’IT. Les nouveaux arrivants vont juger leur bien-être dans les premiers jours de leur arrivée et cela passe par leur matériel et accès aux différentes applications.
  • Il y a des enjeux de sécurité. La maîtrise des accès et des droits est primordial dans ces temps de cybersécurité accrues. Nous retrouvons ce que l’on appelle le shadow it, ces comptes actifs d’utilisateurs partis. Comment pouvez-vous vous assurez que vous avec correctement clôturé les comptes si vous n’avez pas une remontée des départs avec exactitude ?
  • Lors d’audit de sécurité, comment et surtout combien de temps passez-vous à extraire des données ? Une solution d’IAM vous offre une vue d’ensemble et surtout un état des lieux de votre SI en temps réel à chaque instant. Visualisez très rapidement qui a quoi. Vous ne gérez pas uniquement des comptes vous gérez des comptes et des utilisateurs qui sont des personnes en chair et en os ayant plusieurs accès. Est-il facile de s’y retrouver actuellement ? Avez-vous une fiche qui vous dit Jean Dupond a des accès à Exchange, Active Directory, 365, Eurecia, Zoom, Pipedrive …

Conclusion

On le comprend, automatiser la création des comptes AD représente la partie émergée de l’iceberg.
Il devient important d’automatiser la création des comptes aussi bien sur AD que sur le SIRH, les logiciels socle commun de l’entreprise et ceux dédiés aux métiers.

Il est important de maîtriser sa sécurité, de savoir qui se trouve dans son AD et quels sont les utilisateurs partis. Un collaborateur qui change de poste entraîne la question, ‘comment sont gérés ses droits’ ?

Tant pour une question de connaissance et de budget, il est important d’avoir un récapitulatif clair des utilisateurs qui ont un compte sur Active Directory ou autre application et inversement d’avoir une liste des comptes que chaque utilisateur a.

Mélanie Lebrun
Responsable marketing

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Demander une démoDécouvrir Youzer