Administration
(L'approbation entre domaines)

L'approbation
entre
domaines

Création
  d'une relation
  d'approbation

Propriétés
  et validation
  d'une relation
  d'approbation

Utilisations
  d'une relation
  d'approbation

Opération
  à maître
  unique

 

RETOUR

L’approbation entre domaines

Via l'établissement d'une relation d'approbation entre les domaines A et B, un utilisateur du domaine A pourra utiliser les ressources du domaine B (ie l'administrateur de B pourra utiliser les comptes du domaine A pour attribuer des autorisations et donc rendre possible l'utilisation de ses propres ressources aux utilisateurs de B, domaine de ressouce).
Cela peut même autoriser un utilisateur du domaine A à ouvrir une session de travail sur les machines du domaine B comme s'il était connecté sur une machine de son propre domaine (connexions automatiques, profil itinérant, ...).

L'établissement d'une relation d'approbation met en jeu la participation des administrateurs du domaine des deux domaines.
L'administrateur de A devra autoriser l'administrateur de B à l'approuver. Ensuite B pourra approuver A.

L'approbation parent-enfant entre domaines Windows 2008, 2003 ou 2000 est commutative et transitive. Les approbations externes (avec domaine Windows NT 4.0 ou NT 3.51 ou avec domaine d'une autre forêt) ne sont ni commutatives, ni transitives.

Fenêtres d'interface utilisateur

Menu contextuel
associé à la clé
"Domaines et approbations
Active Directory"

Menu contextuel
associé
à un domaine
référencé

Propriétés d'un domaine référencé

Informations générales

Autres domaines approuvés
Autres domaines qui vous approucvent
Pour l'instant, rien nul part

Utilisateur gestionnaire

Création d'une relation d'approbation

Exemple: On souhaite que les utilisateurs du domaine Windows w2k9.univ-fcomte.fr soient autorisés sur les machines du domaine Windows 2008 w2k8.univ-fcomte.fr (et réciproque).

  • S'assurer que les contrôleurs de domaine des deux domaines qui vont être utilisés pour la manipulation sont à même de communiquer l'un avec l'autre:
    • protocole de communication correctement configuré,
    • résolution de noms fonctionnelle pour que les 2 domaines puissent se "trouver".

Au moyen du gestionnaire d'approbation d'un contrôleur du domaine w2k8.univ-fcomte.fr, configurer l'approbation des utilisateurs du domaine w2k9.univ-fcomte.fr.

Aucune relation d'approbation établie (fenêtre w2k8.univ-fcomte.fr)

Lancement de l'assistant de création d'une nouvelle approbation

Indication du domaine cible

Indication du niveau de l'approbation

Sens de l'approbation (bidirectionnelle, entrante ou sortante)

Choix des actions réalisées
Ici, l'intégralité des opérations nécessaires à l'établissement
d'une approbation bi-directionnelle est réalisée

Authentification sur l'autre domaine pour configurer symétriquement
l'approbation sur ce domaine

Niveau d'authentification dans un sens

Niveau d'authentification dans l'autre sens

Vérification et acquittement

Relation d'approbation créée -> Configuration

Relation d'approbation bidirectionnelle configurée du coté NT 4.0 pour que la confirmation de l'approbation fonctionne.

Confirmation de l'approbation sortante

Confirmation de l'approbation entrante

Approbation configurée et fonctionnelle dans les deux sens

Information

Nouvel état des relations d'approbation

Propriétés et validation d'une relation d'approbation

Propriétés générales

Demande de validation

Validation effectuée

Authentification

Utilisations d'une relation d'approbation

  • Ouverture de session de travail sur des machines d'autres domaines comme si ces machines appartenaient au domaine natif du compte

DAOuvertureSession.png (16027 octets)

Ouverture de session sur plusieurs domaines

  • Utilisation sécurisée de ressources réseau proposées sur des serveurs d'autres domaines

Accès aux utilisateurs du domaine approuvé
pour affecter des autorisations

Maitre d'opérations (Opération à maître unique)

Via l'option "Maître d'opérations" sur la clé "Domaine et approbation Active Directory"

Configuration du maître d'attribution des noms de domaine

Augmentation du niveau fonctionnel d'un domaine

Choix du niveau de compatibilité du domaine
en fonction des versions antérieures de Windows Server

Suite