	SUPINFO Institute of Information Technology Laboratoire Microsoft		Laboratoire Microsoft \| Blog \| Forum \| FaqXP \| CertifExpress

Ajouter laboratoire-microsoft.org à mes favoris

Faire de laboratoire-microsoft.org ma page par défaut

Accueil News Articles Essentiels Vidéos Express Scripts Windows Outils d'administration Logiciels Pocket PC Whitepapers Définitions Histoires droles Perles :-) Easter Eggs Livres

Espace membres :

Mot de Passe oublié ?
Créer un compte

CodeName :

Mercury
Qu'est ce que c'est ?

Tips :

Donner des priorites a vos emails sous Outlook 2007 Vous trouvez que Powershell est long a démarrer? Import Export automatique d''informations de la base de registre Activer Windows Server 2008 Edition Core Modifier la clé produit sur Windows Server 2008 Edition Core Désactiver la mise en veille sécurisée sous Windows Server 2008 Edition Core Changer le temps avant l’affichage de l’écran de veille sous Windows Server 2008 Edition Core Désactiver l’écran de veille sous Windows Server 2008 Edition Core Supprimer des programmes de la liste de demarrage Désinstaller IIS 7 sur Windows Server 2008 version Core

Fonds d'écran :

Factoids :

19 Septembre 1982
Qu'est ce que c'est ?

Top Sites : 1er - ...2ème - TopHebergemen...3ème - Informatruc 4ème - 3etoiles.net<...5ème - SoSWindows

6991 Visiteurs

Site audité par :

Jugez notre site !

Tous les Articles du Laboratoire Microsoft

Tout sur les relations d'approbations (Trust Relationship)
Accueil > Articles > Système

Auteur

Joachim GOMARD
Microsoft France
Consultant Système

Tous les articles de cet auteur

Thomas LIAUTARD
MGI CONSULTANTS
Ingénieur système et réseau

Tous les articles de cet auteur

3,1/5

Assez Bien

143674
731/2316

5. Approbations de forêt

5.1 Présentation

Windows Server 2003 introduit un nouveau type d'approbation appelée approbation de forêt.

Pour que cette nouvelle fonctionnalité soit disponible, il faut absolument que les deux forêts mises en relations aient un niveau fonctionnel Windows Server 2003 .

Pour augmenter le niveau fonctionnel de vos forêts, utilisez la console Domaines et Approbations Active Directory puis faites un click droit à la base de la racine puis "Augmenter le niveau fonctionnel de la forêt".

L’approbation de forêt permet à tous les domaines dans une forêt d’approuver de manière transitive tous les domaines d’une autre forêt, par le biais d’une liaison d’approbation unique entre les deux domaines racines de forêt. Cette approbation peut être uni- ou bidirectionnelles.

Par contre cette transitivité est limitée aux domaines appartenant aux deux forêts . Il n'existe pas de transitivité entre les forêts. Dans le cas ou une forêt A donne son approbation à la forêt B et que la forêt B donne son approbation à la forêt C, ceci ne veut pas dire qu’une relation d’approbation est créée entre la forêt A et la forêt C.

Cette nouvelle fonctionnalité permet également une meilleure gestion des espaces de noms approuvés. (Mécanismes qui acheminent les demandes d’authentification et d’autorisation pour les entités de sécurité dont les comptes sont gérés dans une forêt approuvée.)

Les espaces de nom Domaine, nom d’utilisateur principal (UPN, User Principal Name), nom de service principal (SPN, Service Principal Name), et SID qu’une forêt publie seront automatiquement collectés lors de la création d’une approbation de forêt et actualisés par l’interface utilisateur Domaines et approbations Active Directory.

La forêt sera ainsi approuvée comme faisant autorité pour les espaces de noms qu’elle publiera, à la condition que ces espaces de noms n’entrent pas en conflit avec des espaces de noms approuvés appartenant déjà à des relations d’approbation de forêt existantes.

Dans les chapitres suivant nous allons mettre en place un relation d'approbation de forêt, nous permettant de mettre en avant les nouvelles fonctionnalités de ce type d'approbation.

5.2 Création d'une approbation de forêt

Dans cette exemple nous allons utiliser une forêt cbr899.com comprenant un domaine enfant paris.cbr899.com, et une forêt hornet899.com.

Afin de mettre en place une relation d'approbation entre ces deux forêts votre infrastructure DNS devra être capable de répondre aux différentes interrogations des deux forêts. Il vous faudra donc configurer les redirecteurs au niveau des serveurs DNS de vos forêts.

Une fois l'architecture DNS opérationnelle on peut débuter la création d'une relation d'approbation bidirectionnelle de forêt.

Sur le contrôleur de domaine de la forêt cbr899.com utilisez la console Domaines et approbations Active Directory. Cliquez sur le nom de domaine cbr899.com puis allez dans les propriétés. Dans l'onglet approbation sélectionnez Nouvelle approbation.

Entrez alors le nom de la forêt qui sera la destination de l'approbation, dans notre cas hornet899.com

Puis sélectionnez Approbation de forêt

Puis vous pourrez choisir de créer, soit une approbation unidirectionnelle entrante ou sortante, soit une une approbation bidirectionnelle, ce que nous choisirons.

A cette étape, si vous les droits nécessaires, vous pourrez créer les relations d'approbation pour les deux domaines concernés, ce qui évitera de les définir séparément chacun à leur tour.

Saisissez alors un compte ayant les droits administratifs nécessaires sur la forêt hornet899.com

Les relations d'approbation inter forêts ont la possibilité de définir de façon spécifique les postes et serveurs que l'on souhaite rendre disponibles aux utilisateurs. Nous détaillerons plus en détail cette fonctionnalité dans le chapitre autorisation sélective.

Pour l'instant sélectionnez Authentification pour toutes les ressources de la forêt

Faites de même pour la forêt spécifiée.

Enfin confirmez les approbations entrante et sortante.

La relation d'approbation inter forêt est mise en place.

Il est désormais possible d'ouvrir une session sur le domaine cbr899.com ou hornet899.com depuis un poste du domaine hornet899.com.

Il est également possible d'ouvrir une session sur le domaine hornet899.com ou cbr899.com depuis un poste du domaine cbr899.com.

Par contre depuis un poste du domaine paris.cbr899.com vous ne voyez pas le domaine hornet899.com dans la liste déroulante, ceci ne signifie pas que vous ne pouvez pas vous connectez à ce domaine, mais qu'il vous faudra utiliser votre nom d'utilisateur UPN.

La situation sera la même si depuis un poste du domaine hornet899.com, vous voudrez vous connectez au domaine paris.cbr899.com.

Cette situation est du au fait qu'une ouverture de session utilisant les noms NetBIOS n'est disponible qu'entre les domaines racines des forêts.

5.3 Routage de suffixe UPN

Le routage de suffixes de noms est un mécanisme qui permet de gérer la manière dont les demandes d’authentification sont routées entre des forêts Windows Server 2003, reliées entre elles par des approbations de forêts.

Faisons un rappel sur ce qu'est un nom principal d'utilisateur (UPN). Un UPN est composé de l'identifiant d'un utilisateur ,suivi du caractère @, et d'un suffixe. Ex: identifiant@suffixe.com

Pour simplifier l’administration des demandes d’authentification, tous les suffixes de noms uniques par défaut sont routés. Soit dans notre cas cbr899.com et hornet899.com, mais il est possible d'en ajouter d'autres.

Tout nouveau suffixe de nom créé après l’établissement d’une approbation de forêt sera visible dans la boîte de dialogue de propriétés de l’approbation de forêt . Toutefois, le routage pour ces nouveaux suffixes de noms sera désactivé par défaut.

C'est pourquoi nous allons étudier la mise en place du routage d'un nouveau suffixe UPN.

Tout d'abord il faut créer un nouveau suffixe. Dans notre cas nous allons créer le suffixe "routage.com" à la forêt cbr899.com.

Ouvrez la console Domaines et approbations Active Directory, puis faites un click droit à la racine puis propriétés. Enfin ajoutez le nouveau suffixe UPN.

Puis dans le domaine paris.cbr899.com sélectionnez un utilisateur et modifier son suffixe

Il faut alors activer le routage du nouveau suffixe au niveau de la forêt hornet899.com

Ouvrez la console Domaines et approbations Active Directory puis faites un click droit sur hornet899.com, puis propriétés, sélectionnez l 'approbation cbr899.com entrante ou sortante, propriétés puis activez le suffixe routage.com

Il vous est désormais possible d'ouvrir une session avec le suffixe routage.com depuis un poste appartenant à la forêt hornet899.com.

Lorsqu’un suffixe de nom dupliqué est détecté, le routage pour le suffixe de nom le plus récent sera désactivé par défaut. Vous pouvez utiliser la boîte de dialogue de propriétés de l’approbation de forêt pour empêcher manuellement que les demandes d’authentification portant sur des suffixes de noms spécifiques ne soient routées vers une forêt.

5.4 Authentification sélective

Vous pouvez définir l’authentification sélective différemment pour les approbations de forêt sortantes et entrantes.

Si vous décidez de définir une authentification sélective sur une approbation de forêt entrante, vous devrez affecter manuellement des autorisations sur chaque ordinateur et ressource auxquels vous souhaitez que puissent accéder les utilisateurs de la seconde forêt.

Si vous avez suivi les étapes précédentes n'importe quel utilisateur pourra ouvrir une session sur n'importe quel ordinateur d'une domaine d'une forêt approuvante.

Nous allons donc mettre en place une authentification sélective à partir du domaine hornet899.com, pour ne donner le droit qu'à l'utilisateur testcbr@cbr899.com de s'authentifier sur la machine clienthornet.hornet899.com

Tout d'abord ouvrez la console Domaines et approbations Active Directory puis cliquez avec le bouton droit sur hornet899.com, afficher les propriétés, puis dans l'onglet approbations, sélectionnez la relation d'approbation avec cbr899.com et enfin cliquez sur propriétés.

Dans l'onglet authentification activez la case à cocher Authentification sélective.

A partir de ce moment, toute tentative d'ouverture de session sur un poste de la forêt hornet899.com en utilisant un compte de la forêt cbr899.com sera impossible.

Nous allons maintenant affecter à l'utilisateur testcbr@cbr899.com le droit de lire et de s'authentifier sur le poste client clienthornet du domaine hornet899.com

Ouvrez la console Utilisateurs et ordinateurs Active directory du domaine hornet899.com, activez les fonctionnalités avancées, ce qui vous permettra d'afficher l'onglet sécurité des objets.

Faites un click droit, propriétés sur le comte d'ordinateur clienthornet puis dans l'onglet sécurité ajouté l'utilisateur testcbr du domaine cbr899.com, puis affecté l'autorisation d'authentifier et lire.

Vous pouvez maintenant ouvrir une session avec le comte testcbr@cbr899.com sur le poste clienthornet du domaine hornet899.com

5.5 Filtrage SID

Lors d'une migration, par exemple de Windows NT4 vers Windows Server 2003, il est nécessaire que les nouveaux comptes d'utilisateur soit capable d'accéder aux ressources auxquelles ils accédaient avant. Ce mécanisme fait appel au système SIDHistory.

Lorsque vous utilisez cette fonctionnalité, votre forêt peut alors faire l’objet d’attaques d’usurpation sur les identificateurs de sécurité SID de la part de l’administrateur de la forêt approuvée.

Pour résoudre ce problème il existe un filtrage SID par défaut pour les relations d'approbations de forêts.

Il est donc conseillé sauf cas de migration de laisser ce paramètre par défaut.

Vous pouvez désactiver le filtrage en utilisant cette commande.

netdom trust nomforêt/domain:nomdomaine /quarantine:no /usero:nomutilisateur /passordo:password

Introduction

1. Définition des termes utilisés
      1.1 Domaines
      1.2 Arborescences
      1.3 Forêts
      1.4 Relations d'approbation
2. Relations d'approbation prédéfinies
      2.1 Parents/Enfants
      2.2 Racine d'arborescence
3. Approbations raccourcies
4. Approbations externes
      4.1 Présentation
      4.2 Relation d'approbation externe entre deux forêts
      4.3 Relation d'approbation externe entre entre un domaine Windows 2000/2003 et un domaine Windows NT4
      4.4 Création de relations d'approbations externes
      4.5 Vérification et rappel des relations d'approbations externes
5. Approbations de forêt
      5.1 Présentation
      5.2 Création d'une approbation de forêt
      5.3 Routage de suffixe UPN
      5.4 Authentification sélective
      5.5 Filtrage SID
6. Compatibilité avec des services d'annuaire non-Microsoft à l'aide de Kerberos v5
      6.1 Présentation
      6.2 Principe de compatibilité entre un environnement Windows, Linux et Mac avec Kerberos v5
      6.3 Mise en relation d'un environnement Windows et Apple

Conclusion

En Savoir Plus

Evaluez cet article

Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft

Retrouvez ci-dessous les autres sections du Laboratoire Microsoft

Vidéos Express Windows XP Fonctionnalités et astuces Windows XP en vidéos gratuites Windows 2003 Tout ce que vous souhaitez apprendre sous Windows 2003 en vidéo Windows 2000 Apprendre à administrer Windows 2000 avec nos vidéos Windows NT Formez-vous à Windows NT grâce aux Vidéos Express du laboratoire Microsoft Toutes les Vidéos Express

Le Laboratoire | Nous Contacter | Outils Webmasters

Tous les Articles du Laboratoire Microsoft