2. Relations d'approbation prédéfinies
Maintenant que nous avons vu en détail les notions de domaines,
arborescences et forêts, nous allons pouvoir rentrer dans le vif du
sujet, c'est à dire : les relations d'approbation !
Il faut savoir que
lorsque vous gérez vos domaines dans votre forêt il y a certains cas
(que nous allons citer juste après) où des relations d'approbation
entre les domaines se créent automatiquement sans que vous ayez besoin
de les configurer manuellement. Ces relations sont ce que l'on
appelle des relations prédéfinies. Elle sont bidirectionnelles et
transitives.
Les relations d'approbation prédéfinies sont :
-
Parents/Enfants
-
Racine d'arborescence
2.1 Relations d'approbation
: Parents/Enfants
Pour rappel, une relation d'approbation est un
mécanisme permettant aux utilisateurs authentifiés dans leur domaine de
pouvoir accéder aux ressources d'un autre domaine.
Lorsque nous ajoutons un nouveau domaine enfant à un
domaine déjà existant (dans notre exemple nous ajoutons le domaine
enfant "europe" au domaine "waryx.lan"), et bien il se
configure automatiquement une relation d'approbation transitive
bidirectionnelle entre les deux domaines.
Pour pouvoir visualiser cette relation d'approbation
nous avons plusieurs outils à notre disposition. Comme à chaque fois ou
presque, il existe sous Windows Server 2003 une console dans les
outils d'administration nous permettant d'effectuer notre travail. Dans
notre cas cette console s'appelle : Domaines et Approbations Active
Directory.
Vous pouvez lancer cette console soit en allant dans
le menu Démarrer / Outils d'administration / Domaines et Approbations
Active Directory ou alors en tapant dans le menu Exécuter : "domain.msc"
(sans les guillemets).
Une fois ouverte, cette console nous présente
l'architecture de notre réseau avec son arborescence, qui dans notre cas
est seulement constituée de deux domaines, ce qui est très simple!
Faisons un clique droit sur le domaine "waryx.lan"
puis dans le menu cliquons sur "Propriétés", puis allons dans
l'onglet "Approbations" : Nous voyons qu'une relation
d'approbation de type "Enfant" existe et qu'elle est
bidirectionnelle (puisqu'elle apparaît dans le cadre "Approbations
Sortantes" ainsi que dans le cadre "Approbations Entrantes"
et de plus elle est transitive !
Si nous sélectionnons l'une des deux relations et que nous cliquons sur
"Propriétés", l'écran suivant s'affiche nous résumant ainsi les
caractéristiques de cette relation :
Si nous cliquons dans l'onglet Approbations des propriétés du domaine "europe.waryx.lan"
au lieu du domaine "waryx.lan" nous verrons que la même relation
existe mais est simplement définie avec le type "Parent" au lieu
du type "Enfant" comme vu précédemment ! Les caractéristiques
restant exactement les même bien évidemment !
Pour pouvoir créer cette nouvelle relation d'approbation Parent/Enfant
vous devez être membre du groupe "Admins du domaine" (du domaine
parent bien évidemment) ou alors membre du groupe "Enterprise Admins".
2.2
Relations d'approbation : Racine d'arborescence
Voyons maintenant, le deuxième type de relation d'approbation
prédéfinie c'est à dire les relations entre les racines de chaque
arborescence avec la racine de la forêt !
La racine de la forêt correspond au premier domaine que vous créez
dans une nouvelle forêt. Chaque domaine racine d'arborescence rajouté à
la forêt, créé automatiquement une relation d'approbation entre cette
racine et celle de la forêt. Nous allons donc pour notre exemple créer une
nouvelle arborescence dans la même forêt intitulée : "Anhinga.lan".
Comme expliqué plus haut, cette relation n'est pas créée
manuellement, mais rajoutée automatiquement une fois que l'installation
du nouveau contrôleur de domaine est finie. Regardons maintenant les
propriétés des domaines "Waryx.lan" et "Anhinga.lan".
Nous voyons que le type de l'approbation est intitulé : "Racine
d'arborescence".
Cette relation étant transitif comme la
relation Parent/Enfant, si l'on rajoute une nouvelle arborescence (par
exemple "Cassican.lan") dans la même forêt, nous aurons donc une
relation Racine avec "Waryx.lan" (Racine de la forêt) et donc les
domaines "Anhinga.lan" et "Cassican.lan" s'approuveront
mutuellement. De plus comme toutes les relations prédéfinies elle est
bidirectionnelle.
Cliquons sur l'une des relation et affichons ses
propriétés :
Une dernière chose importante à retenir c'est qu'il est impossible de
révoquer une relation d'approbation prédéfinie contrairement aux autres
relations que nous allons étudier !
Maintenant que nous avons fait le tour des relations prédéfinies, nous
allons pousser un peu plus loin le sujet afin de créer et configurer nos
propres relations d'approbation...
 Introduction
1. Définition des termes utilisés
1.1 Domaines
1.2 Arborescences
1.3 Forêts
1.4 Relations d'approbation
2. Relations d'approbation prédéfinies
2.1 Parents/Enfants
2.2 Racine d'arborescence
3. Approbations raccourcies
4. Approbations externes
4.1 Présentation
4.2 Relation d'approbation externe entre deux forêts
4.3 Relation d'approbation externe entre entre un domaine Windows 2000/2003 et un domaine Windows NT4
4.4 Création de relations d'approbations externes
4.5 Vérification et rappel des relations d'approbations externes
5. Approbations de forêt
5.1 Présentation
5.2 Création d'une approbation de forêt
5.3 Routage de suffixe UPN
5.4 Authentification sélective
5.5 Filtrage SID
6. Compatibilité avec des services d'annuaire non-Microsoft à l'aide de Kerberos v5
6.1 Présentation
6.2 Principe de compatibilité entre un environnement Windows, Linux et Mac avec Kerberos v5
6.3 Mise en relation d'un environnement Windows et Apple
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Tout sur les relations d'approbations (Trust Relationship)
