1. Définition des termes utilisés :
1.1 Domaines
La notion de
domaine est très importante puisqu'elle constitue la base de
l'architecture de notre entreprise. Lorsque vous installez votre premier
contrôleur de domaine celui ci créé automatiquement un domaine. Chaque
domaine possède, bien évidemment un nom DNS permettant ainsi d'avoir une
structure de nom contiguë. Il existe plusieurs outils présents dans
Windows Server 2003 nous permettant de gérer le ou les domaines
existants. Au cours de cette étude nous utiliserons principalement la
console MMC (Microsoft Management Console) intitulée : "Domaines et approbations Active Directory".
La création de domaines permet une meilleur gestion du réseau et des
ressources mais également d'autres points comme :
-
La Sécurité : En effet Active Directory 2003
permet d'effectuer des limites de sécurité propre à chaque domaine.
Il faut savoir que lorsque vous définissez une stratégie de sécurité
regroupant un certain nombre de paramètres (droits d'administration,
les listes de contrôle d'accès, les restrictions...) pour un domaine
celle-ci reste au niveau du domaine et n'est pas transmis aux
autres. Ainsi grâce à ce processus vous allez pouvoir définir
plusieurs stratégies de sécurité différentes pour chaque domaine.
-
La Réplication : Il y a au minimum un contrôleur de
domaine pour chaque domaine qui contient l'ensemble des objets du
domaine correspondant. Il est possible d'avoir plusieurs contrôleurs
de domaine pour un même domaine afin de mettre en place une
tolérance de panne ainsi qu'une répartition de charge. Afin que tous
les DC d'un domaine possède une base de donnée (Active
Directory) à jour, une réplications des informations est
effectués entre chacun de ces serveurs.
-
Appliquer des GPO : La grande utilité de mettre en place
des domaines, est la gestion centralisée à partir du serveur des comptes d'utilisateurs et
des comptes d'ordinateurs de tous les membres de l'entreprise. Ainsi au lieu de passer sur les 10000 machines par
exemple pour installer le SP2 de Windows XP et bien
vous allez pouvoir le déployer à l'aide d'une stratégie de groupe (GPO
: Group Policy Object).
De la même manière vous allez pouvoir définir toutes les stratégies
de sécurité, l'environnement de l'utilisateur (Fond d'écran, menu,
etc...). Windows Server 2003 offre une nouvelle console de gestion
des stratégies de groupe intitulé GPMC (Cf cet article sur :
La gestion des GPO à l'aide de GPMC)
-
Structurer : En effet comme indiqué un peu plus
haut, grâce au domaine, vous allez pouvoir structurer votre réseau
en créant plusieurs domaines, regroupant chacun plusieurs sites afin
de classer vos objets. Il faut savoir qu'un domaine peut prendre en
charge plusieurs millions d'objets...
-
Délégation : En effet dans le cas de l'implémentation de
plusieurs domaines, il est possible de déléguer l'administration
d'un domaine à une personne. Vu que la sécurité est limité au
domaine, ceci permet de répartir les droits au sein même d'un
domaine. De plus si vous avez des unités d'organisations dans votre
domaine vous allez pouvoir déléguer la gestion d'une ou plusieurs de
ces OU à un administrateur .
|
 |
Un domaine est toujours représenté de la sorte, sous
la forme d'un triangle en indiquant son nom en dessous comme nous
pouvons le voir sur le schéma ci dessus. C'est comme ça que vous le
retrouverez dans nos futurs schémas.
Maintenant que nous avons introduit la notion de domaine,
nous allons voir qu'il est possible de créé des domaines enfants à
plusieurs niveau, ce qui nous donnera ensuite une arborescence.
C'est
cette notion que nous allons aborder par la suite...
|
1.2 Arborescences
Une arborescence est un ensemble de plusieurs domaines partageant un
espace de noms contigus. Si vous avez plusieurs domaines dans votre
réseau, vous pouvez les relier entre eux afin d'effectuer une
arborescence. Le premier domaine que vous allez créé est appelé domaine
racine de la première arborescence, les domaines suivants appartenant au
même espace de noms contigus sont appelés domaines enfants. De même un
domaine situé directement au dessus d'un autre domaine d'une même
arborescence est appelé domaine parent. Les domaines formant un espace
de noms contigus respectent la règle suivant d'appellation de nom :
Nom du domaine le plus petit suivit d'un point (.)
puis du nom de son domaine parent et ainsi de suite.
Comme nous pouvons le voir dans le schéma, chacun des
domaines d'une arborescence est relié par une relation d'approbation,
c'est ce que nous étudierons en détail dans la partie suivante sur les
relations d'approbation de base !
1.3 Forêts
Une forêt est composée d'un ou plusieurs domaines
appartenant à une même entreprise. Pour chaque forêt Active Directory, il
existe une base de donnée distribuée, elle même composée de plusieurs
base de données partielles enregistrées sur des contrôleurs de domaines
multiples. Le fait de distribuer les bases de données améliore
l'efficacité du réseau en permettant d'organiser les données là où elles
sont les plus utilisées.
Chaque contrôleur de domaine de la forêt
possède une copie du schéma de la forêt. Généralement il est déconseillé
de créer plusieurs forêts pour une même firme, cela augmenterai le
travail de gestion des administrateurs. Il peut donc y avoir
plusieurs arborescences au sein même d'une forêt ne formant pas un
espace de noms contigus. Malgré cela, une forêt possède quand même un
domaine racine unique appelé domaine racine de la forêt, c'est par
définition le premier domaine que vous créé qui est racine.
Voyons tout de suite un exemple :
On retrouve les relations d'approbations entre chaque
domaine parent/enfant. Mais on remarque également que les domaines
racines de chaque arborescence effectuent une relation d'approbation
avec le domaine racine de la forêt (ici : waryx.lan). Nous reviendrons
en détails sur ce type de relation dans la partie suivante !
1.4 Relations d'approbation
Comme nous l'avons annoncé dans l'introduction de ce chapitre, les
relations d'approbation permettent à un utilisateur d'un domaine
d'accéder aux ressources d'un autre domaine, et à un administrateur de
pouvoir gérer les utilisateurs de l'autre domaine. Il y a deux
propriétés principales pour une relation d'approbation qu'il faut
connaître afin de mieux comprendre le fonctionnement :
-
La direction : il y a deux
possibilité pour une relation d'approbation, soit elle est
unidirectionnelle c'est à dire dans un seul sens ou alors
bidirectionnelle c'est à dire dans les deux sens. Une relation
unidirectionnelle permet d'approuver un domaine à partir d'un autre
domaine sans que l'inverse soit appliqué. C'est à dire que si un
domaine A approuve un domaine B, alors un utilisateur du domaine A
pourra accéder aux ressources du domaine B mais l'inverse ne serra
pas possible ! L'autre possibilité est une relation bidirectionnelle
! C'est à dire que les deux domaines s'approuvent mutuellement et
qu'à
partir de ce moment n'importe quel utilisateur d'un domaine peut
accéder aux ressources de l'autre domaine.
-
La transitivité : ce terme fait
référence à la notion mathématique au sens propre du terme,
c'est à dire que si un domaine A approuve un domaine B et que le
domaine B approuve lui même un domaine C et bien alors implicitement
le domaine A approuvera le domaine C ! Toutes les relations
d'approbations ne sont pas forcément transitives. C'est ce que nous
allons voir.
De plus il faut savoir que nous allons gérer toutes ces relations grâce à une console des outils d'administration
intitulée : Domaines et Approbations Active Directory, mais qu'à
chaque nouvelle relation (prédéfinies ou non), un objet TDO pour
Trust Domain Object est créé dans le container
Système de la console Utilisateur et Ordinateur Active Directory.
( Exemple ci dessous avec l'objet : Waryx.lan qui représente une
relation d'approbation de type Racine d'arborescence avec le domaine
Anhinga.lan). A noter que pour faire apparaître le container System
dans la console Utilisateurs et Ordinateurs Active Directory il
faut afficher les paramètres avancés.
Il est important de noter que les relations
d'approbation utilisent le protocole Kerberos V5 pour
l'authentification par défaut sur les machines sous Windows 2000 -
Windows XP et Windows 2003. Si jamais le protocole n'est pas supporté
alors c'est le protocole NTLM qui sera utilisé.
Nous ne rentrerons pas en détail sur le principe de
ces protocoles dans cet article par contre nous allons voir quelles sont
toutes les relations d'approbations qui existent ainsi que leurs
propriétés c'est à dire à savoir si elles sont unidirectionnelles ou
bidirectionnelles et/ou transitives ou non...
 Introduction
1. Définition des termes utilisés
1.1 Domaines
1.2 Arborescences
1.3 Forêts
1.4 Relations d'approbation
2. Relations d'approbation prédéfinies
2.1 Parents/Enfants
2.2 Racine d'arborescence
3. Approbations raccourcies
4. Approbations externes
4.1 Présentation
4.2 Relation d'approbation externe entre deux forêts
4.3 Relation d'approbation externe entre entre un domaine Windows 2000/2003 et un domaine Windows NT4
4.4 Création de relations d'approbations externes
4.5 Vérification et rappel des relations d'approbations externes
5. Approbations de forêt
5.1 Présentation
5.2 Création d'une approbation de forêt
5.3 Routage de suffixe UPN
5.4 Authentification sélective
5.5 Filtrage SID
6. Compatibilité avec des services d'annuaire non-Microsoft à l'aide de Kerberos v5
6.1 Présentation
6.2 Principe de compatibilité entre un environnement Windows, Linux et Mac avec Kerberos v5
6.3 Mise en relation d'un environnement Windows et Apple
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Tout sur les relations d'approbations (Trust Relationship)
