Administration
(L'approbation entre domaines)
L'approbation
entre
domaines
Création
d'une relation
d'approbation
Propriétés
et validation
d'une relation
d'approbation
Utilisations
d'une relation
d'approbation
Opération
à maître
unique
 |
L’approbation entre domaines |
Via l'établissement d'une relation d'approbation entre les domaines A et
B, un utilisateur du domaine A pourra utiliser les ressources du domaine B (ie
l'administrateur de B pourra utiliser les comptes du domaine A pour attribuer des
autorisations et donc rendre possible l'utilisation de ses propres ressources aux
utilisateurs de B, domaine de ressouce).
Cela peut même autoriser un utilisateur du domaine A à ouvrir une session de travail sur
les machines du domaine B comme s'il était connecté sur une machine de son propre
domaine (connexions automatiques, profil itinérant, ...).
L'établissement d'une relation d'approbation met en jeu la participation
des administrateurs du domaine des deux domaines.
L'administrateur de A devra autoriser l'administrateur de B à l'approuver. Ensuite B
pourra approuver A.
L'approbation parent-enfant entre domaines Windows 2008, 2003 ou 2000 est commutative et transitive. Les approbations externes (avec domaine Windows NT 4.0 ou NT 3.51 ou avec domaine d'une autre forêt) ne sont ni commutatives, ni transitives.
Fenêtres d'interface utilisateur
Menu contextuel
associé à la clé
"Domaines et approbations
Active Directory"
Menu contextuel
associé
à un domaine
référencé
Propriétés d'un domaine référencé
Informations générales
Autres domaines approuvés
Autres domaines qui vous approucvent
Pour l'instant, rien nul part
Utilisateur gestionnaire
Création d'une relation d'approbation
Exemple: On souhaite que les utilisateurs du domaine Windows w2k9.univ-fcomte.fr soient autorisés sur les machines du domaine Windows 2008 w2k8.univ-fcomte.fr (et réciproque).
- S'assurer que les contrôleurs de domaine des deux domaines qui vont être utilisés
pour la manipulation sont à même de communiquer l'un avec l'autre:
- protocole de communication correctement configuré,
- résolution de noms fonctionnelle pour que les 2 domaines puissent se "trouver".
Au moyen du gestionnaire d'approbation d'un contrôleur du domaine w2k8.univ-fcomte.fr, configurer l'approbation des utilisateurs du domaine w2k9.univ-fcomte.fr.
Aucune relation d'approbation établie (fenêtre w2k8.univ-fcomte.fr)
Lancement de l'assistant de création d'une nouvelle approbation
Indication du domaine cible
Indication du niveau de l'approbation
Sens de l'approbation (bidirectionnelle, entrante ou sortante)
Choix des actions réalisées
Ici, l'intégralité des opérations nécessaires à l'établissement
d'une approbation bi-directionnelle est réalisée
Authentification sur l'autre domaine pour configurer symétriquement
l'approbation sur ce domaine
Niveau d'authentification dans un sens
Niveau d'authentification dans l'autre sens
Vérification et acquittement
Relation d'approbation créée -> Configuration
Relation d'approbation bidirectionnelle configurée du coté NT 4.0 pour que la confirmation de l'approbation fonctionne.
Confirmation de l'approbation sortante
Confirmation de l'approbation entrante
Approbation configurée et fonctionnelle dans les deux sens
Information
Nouvel état des relations d'approbation
Propriétés et validation d'une relation d'approbation
Propriétés générales
Demande de validation
Validation effectuée
Authentification
Utilisations d'une relation d'approbation
- Ouverture de session de travail sur des machines d'autres domaines comme si ces machines appartenaient au domaine natif du compte
Ouverture de session sur plusieurs domaines
- Utilisation sécurisée de ressources réseau proposées sur des serveurs d'autres domaines
Accès aux utilisateurs du domaine approuvé
pour affecter des autorisations
Maitre d'opérations (Opération à maître unique)
Via l'option "Maître d'opérations" sur la clé "Domaine et approbation Active Directory"
Configuration du maître d'attribution des noms de domaine
Augmentation du niveau fonctionnel d'un domaine
Choix du niveau de compatibilité du domaine
en fonction des versions antérieures de Windows Server