Windows | Windows Server | Active directory | Exchange | SharePoint | SCCM | SCOM | Hyper-V | App-V
ACCUEIL Facebook Twitter Linked In Viadeo Flux RSS
Chapitres
2.1 Installation d’Active Directory
2.2 Implémentation du système DNS pour la prise en charge d’Active Directory
2.3 Les différents niveaux fonctionnels
2.4 Les relations d’approbation

Articles suivants

Articles précédents
Nouveautés de Windows Server 2016 CTP2
Histoire de Microsoft et chronologie
Windows 10: Découvrez les nouveautés !
System Center 2012 Orchestrator: Présentation
Optimisation des performances d'un environnement Hyper-V


Publié le : 01/06/2011 00:18:28
Mise à jour le : 11/10/2011 20:02:41
Catégories :


Version imprimable

Auteur(s)

Loïc THOBOIS (Membre depuis le 04/09/2007 17:50:01)
Société : AVAEDOS
Fonction : Consultant / Formateur
Contactez cet auteur - Affichez les ressources de cet auteur

[Active Directory] 2 Implémentation d'une structure de forêt et de domaine Active Directory

2.4 Les relations d’approbation

Les relations d’approbations permettent à un utilisateur d’un domaine donné d’accéder aux ressources de son domaine, mais aussi d’autres domaines (les domaines approuvés). Les relations d’approbations se différencient de par leur type (transitif ou non transitif) et de par leur direction (unidirectionnel entrant, unidirectionnel sortant, bidirectionnel).

2.4.1 Transitivité de l’approbation

Soient trois domaines distincts reliés entres eux par les deux relations suivantes :

  • Le domaine A approuve directement le domaine B. Ainsi un utilisateur du domaine A peut accéder à toutes les ressources du domaine A et du domaine B.
  • Le domaine B approuve directement le domaine C. Ainsi un utilisateur du domaine B peut accéder à toutes les ressources du domaine B et du domaine C.

Si les deux relations d’approbations de A à B et de B à C sont transitives, alors le domaine A approuve indirectement le domaine C. Dans ce cas de figure un utilisateur du domaine A peut accéder à toutes les ressources du domaine A, du domaine B et du domaine C.

Si les deux relations d’approbations de A à B et de B à C ne sont pas transitives, alors le domaine A n’approuve pas le domaine C. Dans ce cas de figure, un utilisateur du domaine A ne peut pas accéder aux ressources du domaine C.

2.4.2 Direction de l’approbation

Lors de la création d’une relation d’approbation manuelle sous Windows Server 2008, trois directions d’approbation différentes sont utilisables.

Si vous avez configuré une relation d’approbation unidirectionnelle entrante entre le domaine A et le domaine B, alors les utilisateurs du domaine A peuvent être authentifiés dans le domaine B.

Si vous avez configuré une relation d’approbation unidirectionnelle sortante entre le domaine A et le domaine B, alors les utilisateurs du domaine B peuvent être authentifiés dans le domaine A.

Si vous avez configuré une relation d’approbation bidirectionnelle entre le domaine A et le domaine B, alors les utilisateurs de chaque domaine peuvent être authentifiés dans les deux domaines.

2.4.3 Les relations d’approbations

Approbation racine/arborescence

Lorsqu’une nouvelle arborescence est crée au sein d’une forêt, une relation d’approbation bidirectionnelle transitive lie automatiquement cette nouvelle arborescence au domaine racine de la forêt.

Dans exemple ci-contre, l’arborescence egilia.lan est liée à consulting.lan, le domaine racine de la forêt, par le biais d’une relation racine/arborescence.

Approbation parent-enfant

Une approbation parent-enfant est une relation d’approbation bidirectionnelle transitive. Elle est automatiquement créée lorsqu’un nouveau domaine est ajouté à une arborescence.

Dans l’exemple ci-contre, on ajoute le sous domaine consulting.egilia.lan à l’intérieur du domaine egilia.lan. Les deux domaines sont automatiquement reliés par une relation parent-enfant. Ainsi les utilisateurs du domaine egilia.lan peuvent être authentifiés dans le domaine consulting.egilia.lan et vice-versa.

Approbation raccourcie

Une approbation raccourcie est une relation d’approbation partiellement transitive. Elle doit être définie manuellement ainsi que sa direction. Les relations d’approbation raccourcie permettent de réduire les sauts de l’authentification Kerberos.

En effet, si un utilisateur du domaine learning.egilia.lan souhaite s’authentifier dans le domaine mail.consulting.lan, il doit passer par deux approbations parent/enfant et par une approbation racine/arborescence. L’approbation raccourcie permet donc d’accélérer l’authentification inter-domaine.

Approbation externe

Une approbation externe est une relation d’approbation non transitive. Elle doit être créée manuellement et peut avoir une direction unidirectionnelle ou bidirectionnelle.

L’approbation externe permet de relier des domaines appartenant à deux forêts distinctes.

Approbation de domaine

Une approbation de domaine est une relation d’approbation dont la transitivité et la direction doivent être paramétrées par l’administrateur.

L’approbation de domaine permet de relier un domaine sous Active Directory avec un domaine Kerberos non Microsoft.

Approbation de forêt

Une approbation de forêt permet de relier l’intégralité des domaines de deux forêts.

Les approbations de forêt sont non transitives et leurs directions doivent être définies manuellement. Les deux forêts doivent impérativement utiliser le niveau fonctionnel de forêt Windows Server 2008. Il n’y a pas de transitivité entre les forêts.