Redémarrer IIS sans droits admin locaux : tâches planifiées, PowerShell et JEA

Comment autoriser un·e développeur·euse à redémarrer IIS sans l’ajouter aux Administrateurs locaux ? Ce guide propose des méthodes sûres et auditables (tâche planifiée, PowerShell/PsExec, JEA, délégation IIS) avec pas‑à‑pas, scripts et garde‑fous pour respecter le moindre privilège.

Problématique

La commande iisreset nécessite des privilèges élevés. Or, sur des serveurs Windows exposés en production, l’appartenance au groupe Administrateurs locaux est souvent proscrite par les politiques de sécurité. L’objectif est donc de permettre à un profil non‑admin (ex. un·e développeur·euse d’astreinte) de déclencher un redémarrage d’IIS — ou, mieux, une action plus ciblée comme le redémarrage d’un service ou le recyclage d’un Application Pool — tout en gardant le contrôle opérationnel, la traçabilité et une surface d’attaque minimale.

Panorama des approches

Approche	Principe	Étapes clés / Points d’attention
Tâche planifiée avec privilèges élevés	Créer une tâche « à la demande » exécutée sous un compte de service déjà administrateur sur le serveur.	1) Créer la tâche dans Task Scheduler. 2) Cocher Exécuter avec les privilèges les plus élevés. 3) Action iisreset (ou script wrapper). 4) Déléguer au groupe des devs uniquement le droit Exécuter / Lire la tâche (sans modification).
Script PowerShell + PsExec (ou runas / ScheduledTask)	Encapsuler iisreset ou des commandes ciblées dans un script lancé sous un compte à privilèges.	1) Écrire Reset‑IIS.ps1 (journalisé et signé). 2) Lancer via PsExec, runas (avec précautions) ou une Scheduled Task dédiée. 3) Accorder aux devs l’accès en lecture/exécution au script uniquement.
Console ou outil de gestion dédié	Développer ou réutiliser un outil qui tourne déjà sous un compte admin (service/agent) et expose un bouton « Reset IIS ».	Restreindre l’accès par appartenance à un groupe AD. L’outil relaie la demande vers une action contrôlée (service local, API, tâche planifiée).
Délégation dans IIS Manager	Autoriser la gestion d’un périmètre restreint (sites, fonctionnalités) à des non‑admins.	Ne couvre pas iisreset global, mais permet de recycler un Application Pool ou d’opérer des fonctions précises si c’est suffisant pour le besoin.

Comparatif rapide

Critère	Tâche planifiée	Script + PsExec	Outil dédié	Délégation IIS / AppPool
Mise en place	Rapide	Rapide à intermédiaire	Intermédiaire à avancée	Intermédiaire
Traçabilité	Historique de tâches + logs	Logs script + événements	Journal applicatif	Logs IIS Manager / Event Viewer
Surface d’attaque	Faible (si ACL bien posées)	Moyenne (gestion secrets)	Moyenne (code à maintenir)	Faible (périmètre limité)
Couverture iisreset complet	Oui	Oui	Oui (selon implémentation)	Non (plutôt recycle AppPool)
Quand l’utiliser	Besoins ponctuels, audit simple	Plus de logique/contrôles	UX/Process riches requis	Redémarrages ciblés préférés

Mise en œuvre détaillée

Tâche planifiée à la demande (recommandée pour un besoin simple)

Objectif : exposer une action on‑demand déclenchable par un groupe AD, exécutée sous un compte de service admin, avec journalisation native.

Pré‑requis

• Un compte de service (ex. DOM\ServiceIISAdmin) membre des Administrateurs locaux du serveur IIS.
• Un groupe AD pour les opérateurs (ex. DOM\G‑Dev‑IISReset).
• Une convention de nommage de tâches (ex. Ops\ResetIIS).

Création via PowerShell (sans déclencheur, exécution à la demande)

# Action : iisreset /restart
$action     = New-ScheduledTaskAction -Execute "$env:SystemRoot\System32\iisreset.exe" -Argument "/restart"

# Principal : compte de service avec élévation

$principal  = New-ScheduledTaskPrincipal -UserId "DOM\ServiceIISAdmin" -RunLevel Highest

# Paramétrage : tâche exécutable à la demande, sans déclencheur

$settings   = New-ScheduledTaskSettingsSet -AllowStartOnDemand -MultipleInstances IgnoreNew

Register-ScheduledTask -TaskName "Ops\ResetIIS" -Action $action -Principal $principal -Settings $settings -Description "Reset IIS à la demande"

Accorder uniquement l’exécution au groupe des devs (sur le fichier physique de la tâche) :

icacls "%SystemRoot%\System32\Tasks\Ops\ResetIIS" /inheritance:r
icacls "%SystemRoot%\System32\Tasks\Ops\ResetIIS" /grant "DOM\G-Dev-IISReset":(RX) "Administrators":(F)

Exécuter la tâche :

schtasks /Run /TN "Ops\ResetIIS"
# ou
Start-ScheduledTask -TaskName "Ops\ResetIIS"

Journalisation : activez l’historique de la tâche (clic droit > History) et vérifiez les journaux Microsoft‑Windows‑TaskScheduler/Operational. Pour ajouter un motif d’exécution, utilisez un petit wrapper qui logge l’intention puis lance la tâche :

param([Parameter(Mandatory=$true)][string]$Raison)

$source = "ResetIIS-Delegate"
if (-not (Get-EventLog -LogName Application -Source $source -ErrorAction SilentlyContinue)) {
    New-EventLog -LogName Application -Source $source
}

Write-EventLog -LogName Application -Source $source -EventId 4101 -EntryType Information `
    -Message "Demande de reset IIS - Raison: $Raison - Opérateur: $env:USERNAME"

schtasks /Run /TN "Ops\ResetIIS"

Bonnes pratiques :

• Si possible, cochez Ne pas stocker le mot de passe (S4U) lors de l’enregistrement de la tâche via l’interface. Pour un iisreset local, l’accès réseau n’est pas nécessaire.
• Rangez la tâche dans un dossier dédié (Ops\) et verrouillez ses ACL NTFS.
• Ajoutez une alerte (Event Viewer > Task Scheduler) vers votre SIEM/outil d’alerte.

Script PowerShell + PsExec / runas / ScheduledTask

Approche plus flexible : vous encapsulez les scénarios fréquents (recycler un App Pool, redémarrer W3SVC, faire un iisreset complet) dans un script signé et journalisé, puis vous l’exécutez avec élévation via PsExec, runas (avec précaution) ou une tâche planifiée.

Exemple de script polyvalent Reset‑IIS.ps1

[CmdletBinding()]
param(
  [ValidateSet("IIS","Service","AppPool")]
  [string]$Cible = "IIS",
  [string]$AppPool,
  [switch]$DryRun,
  [Parameter(Mandatory=$true)][string]$Raison
)

$ErrorActionPreference = "Stop"
$source = "ResetIIS-Delegate"
if (-not (Get-EventLog -LogName Application -Source $source -ErrorAction SilentlyContinue)) {
New-EventLog -LogName Application -Source $source
}

function Write-Audit($msg) {
Write-EventLog -LogName Application -Source $source -EventId 4102 -EntryType Information -Message $msg
}

try {
Write-Audit "Début action: $Cible; AppPool='$AppPool'; Raison='$Raison'; Opérateur=$env:USERNAME; DryRun=$($DryRun.IsPresent)"
if ($DryRun) { return }

```
switch ($Cible) {
    "IIS"     { Start-Process -FilePath "$env:SystemRoot\System32\iisreset.exe" -ArgumentList "/restart" -Wait -NoNewWindow }
    "Service" { Restart-Service -Name "W3SVC" -Force -ErrorAction Stop }
    "AppPool" {
        if (-not $AppPool) { throw "Paramètre -AppPool requis pour Cible=AppPool" }
        Import-Module WebAdministration
        Restart-WebAppPool -Name $AppPool
    }
}
Write-Audit "Succès action: $Cible"
```

}
catch {
Write-EventLog -LogName Application -Source $source -EventId 4103 -EntryType Error -Message "Échec action: $Cible; $_"
throw
}

Exécution avec élévation

• Via PsExec (local) :
  psexec \\localhost -u DOM\ServiceIISAdmin -p ******** -h -accepteula powershell.exe -NoProfile -ExecutionPolicy Bypass -File "C:\Ops\Reset-IIS.ps1" -Cible IIS -Raison "Flush de cache"
• Via runas (à éviter avec /savecred sur un serveur) :
  runas /user:DOM\ServiceIISAdmin "powershell.exe -NoProfile -File C:\Ops\Reset-IIS.ps1 -Cible Service -Raison ""Redémarrage W3SVC"""
• Via une tâche planifiée (recommandé) :
  Déclarez l’action de la tâche sur powershell.exe -File C:\Ops\Reset-IIS.ps1 -Cible IIS -Raison "…" et déléguez l’exécution comme dans la section précédente.

Sécurisation :

• Signez le script (Set-AuthenticodeSignature) et appliquez ExecutionPolicy à AllSigned sur le serveur.
• ACL du script : Administrators: F, DOM\G‑Dev‑IISReset: RX, aucun droit d’écriture pour les devs.
• Secrets : évitez /savecred. Préférez tâche planifiée ou coffre de secrets.

Console / Outil dédié

Utile si vous voulez un bouton Reset IIS dans une console d’exploitation interne : l’outil appelle une API locale (service Windows ou tâche planifiée) qui tourne sous compte admin. Contrôlez l’accès par groupe AD et consignez toutes les actions (identité, horodatage, justification, résultat). Cette approche offre la meilleure UX mais demande du développement et une maintenance sécurisée (signature du binaire, durcissement de l’agent, revue de code).

Délégation dans IIS Manager (recyclage ciblé)

Souvent, un recyclage d’Application Pool est suffisant et bien moins disruptif qu’un iisreset global.

1. Installer et activer le Management Service (WMSVC) si l’administration distante est requise.
2. Dans IIS Manager > Feature Delegation, passer Recycling et les fonctionnalités requises en Read/Write (en limitant au strict nécessaire).
3. Au niveau du site ou du serveur, ajouter les IIS Manager Permissions pour le groupe DOM\G‑Dev‑IISReset.
4. Indiquer la procédure aux devs : Application Pools > sélectionner le pool > Recycle…

Limite : ne couvre pas iisreset ; c’est voulu pour rester dans un périmètre minimal.

Alternative : ne redémarrer que le nécessaire

Avant tout iisreset, challengez l’objectif. Deux options ciblées :

• Redémarrer le service W3SVC uniquement : remet en route la publication HTTP sans toucher à d’autres services éventuels.
• Recycler un Application Pool : libère la mémoire/état d’un site isolé.

Droit de démarrer/arrêter un service sans être admin

Windows permet d’accorder des droits Start/Stop/Pause sur un service précis (comme W3SVC) via son SDDL. La méthode générale est :

1. Créer un groupe AD dédié (ex. DOM\G‑Dev‑W3SVC).
2. Afficher le SDDL actuel : sc sdshow w3svc.
3. Ajouter une ACE autorisant Start/Stop pour le SID du groupe, puis appliquer : sc sdset w3svc "<SDDL_modifié>".

Important : manipuler le SDDL exige de la rigueur (environnement de test, sauvegarde de l’ancienne valeur). Cette approche est puissante pour éviter toute élévation globale, mais elle reste avancée. En alternative historique, subinacl.exe peut simplifier l’octroi de droits sur un service ciblé.

Just Enough Administration (JEA) : une délégation « sur rails »

Avec PowerShell 5+, JEA permet d’ouvrir une session distante extrêmement limitée, où les opérateurs n’ont accès qu’à des fonctions prédéfinies. Interne à cette session, l’action s’exécute sous un compte virtuel à privilèges, sans donner de droits permanents aux utilisateurs.

Rôle et session JEA minimalistes

Arborescence :

C:\JEA\ResetIIS\
  ├─ ResetIIS.psrc   # Rôle (capability)
  └─ ResetIIS.pssc   # Session (configuration)

Contenu simplifié du rôle ResetIIS.psrc :

@{
    GUID = 'b5b0f4e4-7c7c-4b0a-a08b-2e76c8f4a001'
    Author = 'Ops'
    CompanyName = 'Contoso'
    Description = 'Capabilité JEA: restart IIS, W3SVC ou recycle AppPool'
    ModulesToImport = @('WebAdministration')
    VisibleFunctions = @('Restart-IIS')
    FunctionDefinitions = @(
        @{
            Name = 'Restart-IIS'
            ScriptBlock = {
                param([ValidateSet('IIS','W3SVC','AppPool')][string]$Target='IIS',[string]$AppPool)
                if ($Target -eq 'IIS')    { & "$env:SystemRoot\System32\iisreset.exe" /restart }
                elseif ($Target -eq 'W3SVC') { Restart-Service -Name W3SVC -Force }
                elseif ($Target -eq 'AppPool' -and $AppPool) { Import-Module WebAdministration; Restart-WebAppPool -Name $AppPool }
                else { throw 'Paramètres invalides.' }
            }
        }
    )
}

Contenu simplifié de la session ResetIIS.pssc :

@{
    SchemaVersion        = '2.0.0.0'
    SessionType          = 'RestrictedRemoteServer'
    TranscriptDirectory  = 'C:\JEA\Transcripts'
    RunAsVirtualAccount  = $true
    RoleDefinitions      = @{
        'DOM\G-Dev-IISReset' = @{ RoleCapabilities = @('ResetIIS') }
    }
}

Enregistrement et usage :

Register-PSSessionConfiguration -Name 'JEA-ResetIIS' -Path 'C:\JEA\ResetIIS\ResetIIS.pssc' -Force
# Côté opérateur :
Enter-PSSession -ComputerName IIS01 -ConfigurationName 'JEA-ResetIIS'
Restart-IIS -Target AppPool -AppPool "MonAppPool"  # Exemple

Atouts : pas de privilèges permanents pour les devs, surface d’attaque réduite, transcriptions centralisées. Attention : prévoir le cycle de vie des fichiers de transcription (rotation, archivage sécurisé).

Audit & conformité

• Qui a exécuté ? Identité Windows (nom d’utilisateur / SID / groupe), poste éventuel d’origine.
• Quand ? Horodatage précis, corrélé à votre SIEM.
• Quoi ? Type d’action (Reset IIS, Restart W3SVC, Recycle AppPool) + paramètres (nom du pool, raison).
• Résultat : succès/échec, codes de retour, durée.

Sources de vérité :

• Task Scheduler > History (IDs d’événements typiques : 100, 200, 201, 102…)
• Application et Windows PowerShell dans l’Event Viewer (événements générés par vos scripts)
• Transcriptions JEA si vous optez pour cette architecture
• Activation d’Audit Process Creation (Ev. 4688) avec ligne de commande pour renforcer la traçabilité

Bénéfices – Risques

Bénéfices	Risques / Mitigations
Conformité avec le moindre privilège.	Escalade potentielle si le compte de service est compromis → Protégez les identifiants (LAPS, coffre de secrets), minimisez les droits, rotation régulière.
Traçabilité claire via tâches planifiées et scripts signés.	Indisponibilité si un reset est lancé en période sensible → Procédure de validation, change window dédiée, approbation via ticket.
Actions plus fines que iisreset (W3SVC, recycle AppPool).	Complexité de configuration (SDDL, JEA) → Documenter, automatiser via IaC/DSC et tester en recette.

Recommandation rapide

Pour un besoin ponctuel et simple, implémentez une tâche planifiée exécutant iisreset (ou mieux : Restart-Service W3SVC / Restart-WebAppPool), déclenchée manuellement, avec droits Lire + Exécuter pour un groupe AD ciblé et journalisation dans l’Event Log. C’est rapide, auditable et conforme au moindre privilège.

Playbook opératoire

Avant

• Vérifier l’état des App Pools (erreurs récurrentes, mémoire) et l’impact métier d’un reset.
• Prévenir si nécessaire (message de maintenance, bascule trafic s’il y a un cluster).
• Être prêt à observer (logs applicatifs, métriques CPU/RAM, files d’attente).

Pendant

• Déclencher l’action choisie en fournissant la raison.
• Surveiller la remontée des sites (HTTP 200, sondes, temps de réponse).
• Être prêt à annuler/relancer en cas d’échec partiel (App Pool spécifique).

Après

• Valider la stabilité (5–10 min de monitoring). Consigner l’issue et la durée.
• Analyser la cause (par ex. fuite mémoire, deadlocks, déploiement incomplet) pour éviter de répéter l’opération.
• Archiver les journaux dans le référentiel d’incidents/changes.

FAQ ciblée

Un iisreset est‑il toujours nécessaire ? Non. Privilégiez Restart-Service W3SVC ou Restart-WebAppPool qui ont un impact plus limité.

La tâche planifiée ne démarre pas ? Vérifiez que le compte de service peut se connecter localement, que la tâche est autorisée « à la demande », que ses ACL NTFS donnent RX au groupe, et que l’ExecutionPolicy n’empêche pas les scripts si vous passez par PowerShell.

Et si je dois déclencher à distance ? Exposez une exécution locale contrôlée : WinRM restreint (JEA), ou un relais qui appelle la tâche planifiée en local. Évitez d’ouvrir iisreset brut à distance sans garde‑fous.

Comment demander une justification obligatoire ? Utilisez un wrapper qui exige -Raison et enregistre l’événement avant de déclencher la tâche ou la commande JEA.

Quid des mises à jour/patchs ? Intégrez ce mécanisme dans votre pipeline d’exploitation : pas de dépendance à un poste particulier, scripts signés, inventaire et revue régulière.

Modèles prêts à l’emploi

Création express de la tâche « Reset IIS »

$taskName   = "Ops\ResetIIS"
$svcUser    = "DOM\ServiceIISAdmin"
$devGroup   = "DOM\G-Dev-IISReset"

$action     = New-ScheduledTaskAction -Execute "$env:SystemRoot\System32\iisreset.exe" -Argument "/restart"
$principal  = New-ScheduledTaskPrincipal -UserId $svcUser -RunLevel Highest
$settings   = New-ScheduledTaskSettingsSet -AllowStartOnDemand -MultipleInstances IgnoreNew

Register-ScheduledTask -TaskName $taskName -Action $action -Principal $principal -Settings $settings -Description "Reset IIS à la demande"

$taskPath   = Join-Path $env:SystemRoot "System32\Tasks\Ops\ResetIIS"
icacls $taskPath /inheritance:r | Out-Null
icacls $taskPath /grant "$devGroup":(RX) "Administrators":(F)

Exécution contrôlée avec justification

param([Parameter(Mandatory=$true)][string]$Raison)
$source = "ResetIIS-Delegate"
if (-not (Get-EventLog -LogName Application -Source $source -ErrorAction SilentlyContinue)) {
    New-EventLog -LogName Application -Source $source
}
Write-EventLog -LogName Application -Source $source -EventId 4101 -EntryType Information -Message "Demande reset IIS - $Raison"
schtasks /Run /TN "Ops\ResetIIS"

Recyclage ciblé d’un App Pool

Import-Module WebAdministration
Restart-WebAppPool -Name "MonAppPool"

Redémarrage du service W3SVC uniquement

Restart-Service -Name W3SVC -Force

Conclusion

Accorder à un profil non‑admin le pouvoir de « redémarrer IIS » ne signifie pas renoncer au moindre privilège. Entre la tâche planifiée (rapide et robuste), le script PowerShell signé (souple), la délégation IIS (ciblée) et JEA (encadrée), vous disposez d’un éventail de modèles complémentaires. Choisissez la voie la plus simple répondant à votre besoin réel (souvent un redémarrage ciblé) et outillez‑la d’ACL strictes, de journaux probants et d’un processus de validation. Vous gagnerez en sécurité, en disponibilité et en sérénité opérationnelle.