Des approbations Active Directory peuvent être créées entre les domaines Active Directory et les forêts Active Directory. Une approbation vous permet de maintenir une relation entre les deux domaines pour vous assurer que les ressources des domaines sont accessibles aux utilisateurs. Toutes les approbations entre domaines d’une forêt Active Directory sont des approbations transitives et bidirectionnelles. Il n’est donc pas nécessaire de créer une approbation entre les domaines de la même forêt Active Directory, mais vous devrez créer une approbation entre les domaines de forêts Active Directory différentes si vous devez autoriser les utilisateurs d’un domaine à accéder aux ressources d’un autre domaine dans une forêt Active Directory différente. Cet article explique les types de confiance disponibles dans Windows Server 2016 et comment vous pouvez les gérer à l’aide des outils intégrés fournis lorsque vous installez Active Directory sur un ordinateur Windows Server 2016.
Types d’approbations Active Directory
Quatre types d’approbations Active Directory sont disponibles : les approbations externes, les approbations de domaine, les approbations forestières et les approbations de raccourci. Chacun est expliqué ci-dessous :
- Confiance externe : Vous ne créerez une confiance externe que si les ressources se trouvent dans une forêt Active Directory différente. Une confiance externe est toujours non transitive et il peut s’agir d’une confiance à sens unique ou bidirectionnelle.
- Confiance de domaine : Les approbations de domaine sont toujours créées entre la forêt Active Directory et un répertoire Kerberos non Windows tel que eDirectory, Unix, etc. La confiance peut être transitive et non transitive et la direction de la confiance peut être à sens unique ou bidirectionnelle. Si vous exécutez différents répertoires dans votre environnement de production et que vous devez autoriser les utilisateurs à accéder aux ressources de l’un ou l’autre des répertoires, vous devrez établir une approbation de domaine.
- Confiance forestière : Vous devrez créer une confiance forestière si vous devez autoriser le partage de ressources entre les forêts Active Directory. Les fiducies forestières sont toujours transitives et la direction peut être à sens unique ou bidirectionnelle.
- Raccourci confiance: Vous pouvez créer une approbation de raccourci entre les domaines de la même forêt Active Directory si vous avez besoin d’améliorer l’expérience de connexion de l’utilisateur. La confiance de raccourci est toujours transitive et la direction peut être à sens unique ou bidirectionnelle.
Points importants concernant les approbations Active Directory
Lors de la création d’approbations Active Directory, veuillez noter les points suivants :
- Vous devez disposer d’autorisations suffisantes pour effectuer une opération de création d’approbation. Au minimum, vous devrez faire partie du groupe de sécurité des administrateurs de domaine ou des administrateurs d’entreprise ou vous devez avoir obtenu les autorisations nécessaires pour créer des approbations.
- Dans le cadre de l’opération de création de confiance, vous devrez vérifier la confiance entre deux destinations. La vérification peut être effectuée à l’aide du composant logiciel enfichable Domaines et fiducies Active Directory ou de l’outil de ligne de commande Netdom.
- Lors de la création d’approbations externes ou forestières, vous pouvez sélectionner la portée de l’authentification pour les utilisateurs. L’authentification sélective vous permet de restreindre l’accès aux seules identités d’une forêt Active Directory de confiance qui ont reçu des autorisations pour les ordinateurs de ressources dans la forêt Active Directory de confiance. Le scénario de restriction d’accès est réalisé à l’aide de la fonctionnalité d’authentification sélective, qui s’applique uniquement aux approbations externes et forestières.
Comment créer une approbation
Vous pouvez utiliser le composant logiciel enfichable Domaines et fiducies Active Directory ou l’outil de ligne de commande Netdom pour créer les approbations expliquées ci-dessus. Par exemple, pour créer une approbation externe à l’aide du composant logiciel enfichable Domaines et approbations Active Directory, procédez comme suit :
- Type Domain.msc dans la barre de recherche dans le menu Démarrer.
- Faites un clic droit sur le nœud de domaine, puis cliquez sur l’action Propriétés.
- Sous l’onglet Approbations, cliquez sur la nouvelle approbation, puis cliquez sur Suivant pour afficher les étapes.
- Dans le champ Nom de confiance, tapez le nom DNS du domaine, puis cliquez sur le bouton Suivant.
- Dans la liste déroulante Type de confiance, sélectionnez le type de confiance que vous souhaitez créer. Puisque nous créons une confiance externe, sélectionnez Confiance externe, puis cliquez sur le bouton Suivant.
- Sur la page où il est indiqué » Direction de la confiance « , sélectionnez direction, puis suivez les étapes à l’écran pour continuer à créer la confiance.
Pour créer une approbation externe à l’aide de l’outil de ligne de commande Netdom, exécutez cette commande:
Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add
<TrustingDomain >dans la commande ci-dessus se trouve le nom de domaine DNS du domaine de confiance et < TrustedDomain > est le nom de domaine DNS du domaine qui sera approuvé dans la confiance.
Vérification des approbations
Une fois que vous avez créé des approbations, vous pouvez les vérifier à l’aide du composant logiciel enfichable Domaines et approbations Active Directory ou de l’outil de ligne de commande Netdom, mais il est préférable de vérifier les approbations à l’aide de l’outil de ligne de commande Netdom. Il vous suffit de spécifier les noms de domaine DNS des domaines de confiance et de confiance, puis d’ajouter le commutateur « /Verify » comme indiqué dans la commande ci-dessous :
Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify
Bien qu’il soit facile de créer des approbations à l’aide des domaines Active Directory et des approbations sanp-in, lorsqu’il s’agit de vérifier la confiance, l’utilisation de l’utilitaire de ligne de commande Netdom est logique car il vous permet d’inclure la commande de vérification dans un fichier batch et de l’exécuter chaque semaine pour vous assurer la confiance est en place.
Crédit photo: Wikimedia