24.

Création de relations d’approbation

Introduction

Les approbations sont des mécanismes qui permettent à un utilisateur

authentifié dans son propre domaine d’accéder aux ressources de tous les
domaines approuvés. Dans Windows Server 2003, il existe deux types
d’approbations : transitives et non transitives.

Direction de l’approbation
Un chemin d'approbation est une série de relations d'approbation que
les demandes d'authentification doivent suivre entre les domaines. Pour qu'un
utilisateur puisse accéder à une ressource d'un autre domaine, le système de
sécurité sur les contrôleurs de domaine exécutant Windows Server 2003 doit
déterminer si le domaine d'approbation (le domaine contenant la ressource à
laquelle l'utilisateur tente d'accéder) entretien une relation d'approbation avec
le domaine approuvé (le domaine d'ouverture de session de l'utilisateur).

Page : 2
24. Création de relations d’approbation

Approbation à sens unique

Une approbation à sens unique est un chemin d'authentification

unidirectionnel créé entre deux domaines. Cela signifie que dans une
approbation à sens unique entre le Domaine A et le Domaine B, les utilisateurs
du Domaine A peuvent accéder aux ressources du Domaine B. En revanche, les
utilisateurs du Domaine B ne peuvent pas accéder aux ressources du
Domaine A.

Approbation bidirectionnelle

Toutes les approbations de domaine d'une forêt Windows Server 2003

sont des approbations transitives bidirectionnelles. Lorsqu'un nouveau
domaine enfant est créé, une approbation transitive bidirectionnelle est
automatiquement créée entre le nouveau domaine enfant et le domaine
parent. Dans une approbation bidirectionnelle, le Domaine A approuve le
Domaine B et le Domaine B approuve le Domaine A. Cela signifie que les
demandes d'authentification peuvent passer entre les deux domaines dans les
deux sens.

Un domaine Windows Server 2003 peut établir une approbation à sens

unique ou bidirectionnelle avec :

• les domaines Windows Server 2003 de la même forêt ;

• les domaines Windows Server 2003 d'une autre forêt ;
• les domaines Windows NT 4.0 ;
• les domaines Kerberos V5.

Transitivité de l'approbation
La transitivité détermine si une approbation peut être étendue en dehors
des deux domaines avec lesquels elle a été formée. Une approbation
transitive peut être utilisée pour étendre des relations d'approbation avec
d'autres domaines et une approbation non transitive peut être utilisée pour
refuser des relations d'approbation avec d'autres domaines.

Approbations transitives

Chaque fois que vous créez un nouveau domaine dans une forêt, une
relation d'approbation transitive bidirectionnelle est automatiquement créée
entre le nouveau domaine et son domaine parent. Si les domaines enfants sont
ajoutés à un nouveau domaine, le chemin d'approbation se déplace vers le
haut dans la hiérarchie de domaine en étendant le chemin d'approbation
initial créé entre le nouveau domaine et son domaine parent.

Les relations d'approbation transitives se déplacent vers le haut dans une

arborescence de domaine au fur et à mesure de sa formation, créant ainsi des
approbations transitives entre tous les domaines de l'arborescence de domaine.
Page : 3
24. Création de relations d’approbation

Approbation non transitive

Une approbation non transitive est limitée par les deux domaines de
la relation d'approbation et ne se déplace pas vers d'autres domaines de la
forêt. Une approbation non transitive peut être une approbation
bidirectionnelle ou une approbation à sens unique.

Les approbations non transitives sont à sens unique par défaut, même si
vous pouvez également créer une relation bidirectionnelle en créant deux
approbations à sens unique. En bref, les approbations de domaine non
transitives constituent l'unique forme de relation d'approbation possible entre :

• Un domaine Windows Server 2003 et un domaine Windows NT

• Un domaine Windows Server 2003 dans une forêt et un domaine dans
une autre (s'ils ne sont pas liés par une approbation de forêt)

Types d’approbations

Les approbations permettent la communication entre les domaines. Les

approbations sont des canaux d'authentification nécessaires aux utilisateurs
d'un domaine pour accéder aux ressources d'un autre domaine.

Approbations par défaut

Par défaut, des approbations transitives bidirectionnelles sont

automatiquement créées lorsqu'un nouveau domaine est ajouté à
l'arborescence du domaine ou au domaine racine de la forêt à l'aide de
l'Assistant Installation de Active Directory. Les deux types d'approbations par
défaut sont définis dans le tableau suivant.

Page : 4
24. Création de relations d’approbation

Type
Transitivité Direction Description
d'approbation
Parent-enfant Transitif Deux sens Lorsqu'un nouveau domaine enfant est ajouté à une
arborescence de domaine existante, une nouvelle
relation d'approbation parent-enfant est établie par
défaut. Les requêtes d'authentification effectuées à
partir des domaines subordonnés remontent, en
passant par leur parent, jusqu'au domaine autorisé
à approuver.
Racine Transitif Deux sens Lorsqu'une arborescence de domaine est créée dans
d'arborescence une forêt existante, une nouvelle approbation de
racine d'arborescence est établie par défaut.

Autres approbations

Il existe quatre autres types d'approbations pouvant être créées à l'aide

de l'Assistant Nouvelle approbation. Ces approbations sont décrites dans le
tableau suivant.

Type
Transitivité Direction Description
d'approbation
Utilisez les approbations externes pour accéder
à des ressources situées dans un domaine
Sens unique
Externe Non transitif Windows NT 4.0, ou dans un domaine se
ou deux sens
trouvant dans une autre forêt non liée par une
approbation de forêt.
Utilisez des approbations de domaine Kerberos
Domaine Transitif ou Sens unique pour créer une relation d'approbation entre un
Kerberos non transitif ou deux sens domaine Kerberos non-Windows et un domaine
Windows Server 2003.
Utilisez des approbations de forêt pour partager
des ressources entre des forêts. Si une
Sens unique
Forêt Transitif approbation de forêt est bidirectionnelle, les
ou deux sens
requêtes d'authentification effectuées dans
l'une des forêts peuvent atteindre l'autre.
Utilisez des approbations raccourcies pour
améliorer les ouvertures de session entre deux
Sens unique domaines au sein d'une forêt Windows Server
Raccourci Transitif
ou deux sens 2003. Cela se révèle particulièrement utile
lorsque deux domaines sont séparés par 2
arborescences de domaine.

Quand créer une approbation externe

Vous pouvez créer une approbation externe pour former une

approbation non transitive à sens unique ou à deux sens avec des
domaines situés à l'extérieur de votre forêt. Les approbations externes sont
parfois nécessaires lorsque les utilisateurs doivent accéder à des ressources
situées dans un domaine Windows NT 4.0, ou dans un domaine se trouvant
dans une autre forêt non liée par une approbation de forêt, comme indiqué
sur l'illustration.

Page : 5
24. Création de relations d’approbation

Quand créer une approbation raccourcie

Les approbations raccourcies sont des approbations transitives à

sens unique ou à deux sens pouvant être utilisées lorsque les administrateurs
ont besoin d'optimiser le processus d'authentification. Les requêtes
d'authentification doivent d'abord parcourir un chemin d'approbation entre
les arborescences de domaines, et dans une forêt complexe ceci peut
prendre un certain temps, qui peut être réduit à l'aide d'approbations
raccourcies. Un chemin d'approbation est la série de relations d'approbation
de domaine devant être traversée pour transmettre les requêtes
d'authentification entre deux domaines.

Quand créer une approbation de domaine Kerberos

Une approbation de domaine Kerberos peut être établie entre tout

domaine Kerberos V5 non-Windows et un domaine Windows Server 2003.
Cette relation d'approbation permet l'interfonctionnement multiplateformes
avec des services de sécurité basés sur d'autres versions de Kerberos V5
comme l’implémentations UNIX. Les approbations de domaine Kerberos
peuvent passer de non transitives à transitives et inversement. Elles peuvent
également être soit à sens unique soit à deux sens.

Page : 6
24. Création de relations d’approbation

Quand créer une approbation de forêt

Il n'est possible de créer une approbation de forêt qu'entre un domaine

racine de forêt se trouvant dans une forêt Windows Server 2003 et un
domaine racine de forêt se trouvant dans une autre forêt
Windows Server 2003. La création d'une approbation de forêt entre deux
forêts Windows Server 2003 fournit une relation d'approbation transitive à
sens unique ou à deux sens entre chaque domaine résidant dans chaque forêt.
Les approbations de forêt sont particulièrement utiles aux sociétés réalisant
des fusions, aux extranets professionnels collaboratifs.

Gérer des approbations

Vérifier une approbation

1. Ouvrez Domaines et approbations Active Directory :

Démarrer Î Panneau de configuration Î Outils d'administration Î

Domaines et approbations Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le

domaine qui contient l'approbation que vous souhaitez vérifier, puis
cliquez sur Propriétés.
3. Sous l'onglet Approbations, sous Domaines approuvés par ce
domaine (approbations sortantes) ou Domaines qui approuvent
ce domaine (approbations entrantes), cliquez sur l'approbation à
vérifier, puis cliquez sur Propriétés.
4. Cliquez sur Valider.
5. Effectuez les actions suivantes, puis cliquez sur OK :

• Cliquez sur Non, ne pas valider l'approbation entrante.

Si vous choisissez cette option, il est recommandé de répéter cette

procédure pour le domaine réciproque.

• Cliquez sur Oui, valider l'approbation entrante.

Si vous choisissez cette option, vous devez taper un compte et un mot

de passe d'utilisateur avec les informations d'identification
administratives pour le domaine réciproque.

) Remarque :

Vous pouvez vérifier les approbations raccourcies, les approbations

externes et les approbations de forêt mais pas les approbations de domaine.

Page : 7
24. Création de relations d’approbation

Supprimer une approbation

1. Ouvrez Domaines et approbations Active Directory.

Démarrer Î Panneau de configuration Î Outils d'administration Î

Domaines et approbations Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le

domaine qui contient l'approbation que vous souhaitez supprimer, puis
cliquez sur Propriétés.
3. Sous l'onglet Approbations, sous Domaines approuvés par ce
domaine (approbations sortantes) ou Domaines qui approuvent
ce domaine (approbations entrantes), cliquez sur l'approbation à
supprimer, puis cliquez sur Supprimer.
4. Effectuez les actions suivantes, puis cliquez sur OK :

• Cliquez sur Non, supprimer l'approbation du domaine local

uniquement.

Si vous choisissez cette option, il est recommandé de répéter cette

procédure pour le domaine réciproque.

• Cliquez sur Oui, supprimer l'approbation du domaine local et de

l'autre domaine.

Si vous choisissez cette option, vous devez taper un compte et un mot

de passe d'utilisateur avec les informations d'identification
administratives pour le domaine réciproque.

) Remarque :

Il est impossible de révoquer les approbations transitives

bidirectionnelles par défaut entre les domaines d'une forêt. Les raccourcis
d'approbations créés de manière explicite peuvent être supprimés.

Créer une approbation raccourcie

1. Ouvrez Domaines et approbations Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le
nœud du domaine avec lequel vous voulez établir une approbation
raccourcie, puis cliquez sur Propriétés.
3. Sous l'onglet Approbations, cliquez sur Nouvelle approbation, puis
sur Suivant.
4. Sur la page Nom d'approbation, tapez le nom DNS (ou le nom
NetBIOS) du domaine, puis cliquez sur Suivant.
5. Sur la page Direction de l'approbation, effectuez l'une des opérations
suivantes :

Page : 8
24. Création de relations d’approbation

• Pour créer une approbation raccourcie à deux sens, cliquez sur Deux
sens.

Les utilisateurs de ce domaine et ceux du domaine spécifié pourront

alors utiliser ce chemin d'approbation.

• Pour créer une approbation raccourcie à sens unique entrante, cliquez

sur Sens unique : en entrée.

Les utilisateurs du domaine spécifié ne pourront pas emprunter ce

chemin d'approbation.

• Pour créer une approbation raccourcie à sens unique sortante, cliquez

sur Sens unique : en sortie.

Les utilisateurs de ce domaine ne pourront pas emprunter ce chemin

d'approbation.

6. Continuez en suivant les étapes de l'Assistant.

Créer une approbation externe

1. Ouvrez Domaines et approbations Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le
nœud du domaine pour lequel vous voulez établir une approbation, puis
cliquez sur Propriétés.
3. Sous l'onglet Approbations, cliquez sur Nouvelle approbation, puis
sur Suivant.
4. Sur la page Nom d'approbation, tapez le nom DNS (ou le nom
NetBIOS) du domaine, puis cliquez sur Suivant.
5. Sur la page Type d'approbation, cliquez sur Approbation externe,
puis sur Suivant.
6. Sur la page Direction de l'approbation, effectuez l'une des opérations
suivantes :

• Pour créer une approbation externe à deux sens, cliquez sur Deux
sens.

Les utilisateurs de ce domaine et ceux du domaine spécifié pourront

alors accéder aux ressources des deux domaines.

• Pour créer une approbation externe à sens unique, cliquez sur Sens
unique : en entrée.

Les utilisateurs du domaine spécifié ne pourront accéder à aucune

ressource de ce domaine.

Page : 9
24. Création de relations d’approbation

• Pour créer une approbation de domaine externe à sens unique

sortante, cliquez sur Sens unique : en sortie.

Les utilisateurs de ce domaine ne pourront accéder à aucune

ressource du domaine spécifié.

7. Continuez en suivant les étapes de l'Assistant.

) Remarques :

• Si vous voulez permettre aux utilisateurs du domaine spécifié d'avoir

accès à toutes les ressources de ce domaine, cliquez sur Autoriser
l'authentification pour toutes les ressources dans le domaine local
sur la page Propriétés de l'approbation sortante. Cette option devrait
être utilisée lorsque les deux domaines appartiennent à la même
organisation.
• Si vous voulez restreindre l'accès aux ressources de ce domaine aux
utilisateurs du domaine spécifié, cliquez sur Autoriser l'authentification
uniquement pour les ressources sélectionnées dans le domaine
local sur la page Propriétés de l'approbation sortante. Cette option
devrait être utilisée lorsque les domaines appartiennent à des
organisations différentes.

Créer une approbation de domaine Kerberos

1. Ouvrez Domaines et approbations Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le
nœud du domaine que vous souhaitez administrer, puis cliquez sur
Propriétés.
3. Sous l'onglet Approbations, cliquez sur Nouvelle approbation, puis
sur Suivant.
4. Sur la page Nom d'approbation, tapez le nom du domaine Kerberos
cible, puis cliquez sur Suivant.
5. Sur la page Type d'approbation, sélectionnez l'option Approbation de
domaine Kerberos, puis cliquez sur Suivant.
6. Sur la page Transitivité de l'approbation, effectuez l'une des
opérations suivantes :

• Pour créer une relation d'approbation avec ce domaine et le domaine

Kerberos spécifié, cliquez sur Non transitif, puis sur Suivant.
• Pour créer une relation d'approbation avec ce domaine et le domaine
Kerberos spécifié et tous les domaines Kerberos approuvés, cliquez
sur Transitif, puis sur Suivant.

Page : 10
24. Création de relations d’approbation

7. Sur la page Direction de l'approbation, effectuez l'une des opérations

suivantes :

• Pour créer une approbation de domaine Kerberos à deux sens,

cliquez sur Deux sens.

Les utilisateurs de ce domaine et les utilisateurs du domaine Kerberos

spécifié peuvent accéder aux ressources du domaine et du domaine
Kerberos.

• Pour créer une approbation de domaine Kerberos à sens unique

entrante, cliquez sur Sens unique : en entrée.

Les utilisateurs du domaine Kerberos spécifié ne pourront accéder à

aucune ressource de ce domaine.

• Pour créer une approbation de domaine Kerberos à sens unique

sortante, cliquez sur Sens unique : en sortie.

Les utilisateurs de ce domaine ne pourront accéder à aucune

ressource du domaine Kerberos spécifié.

8. Continuez en suivant les étapes de l'Assistant.

Pour créer une approbation de forêt

1. Ouvrez Domaines et approbations Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le
nœud du domaine racine de la forêt, puis cliquez sur Propriétés.
3. Sous l'onglet Approbations, cliquez sur Nouvelle approbation, puis
sur Suivant.
4. Dans la page Nom d'approbation, tapez le nom DNS (ou le nom
NetBIOS) d'une autre forêt, puis cliquez sur Suivant.
5. Dans la page Type d'approbation, cliquez sur Approbation de la
forêt, puis sur Suivant.
6. Dans la page Direction de l'approbation, effectuez l'une des
opérations suivantes :

• Pour créer une approbation de forêt bidirectionnelle, cliquez sur

Bidirectionnel.

Les utilisateurs de cette forêt et ceux de la forêt spécifiée pourront

alors accéder aux ressources des deux forêts.

• Pour créer une approbation de forêt entrante unidirectionnelle, cliquez

sur Sens unique : en entrée.

Page : 11
24. Création de relations d’approbation

Les utilisateurs de la forêt spécifiée ne pourront alors pas accéder aux

ressources de cette forêt.

• Pour créer une approbation de forêt sortante unidirectionnelle, cliquez

sur Sens unique : en sortie.

Les utilisateurs de cette forêt ne pourront alors accéder à aucune

ressource de la forêt spécifiée.

7. Continuez en suivant les étapes de l'Assistant.

) Remarques :

• Si vous souhaitez que les utilisateurs de la forêt spécifiée aient accès à

tous les ordinateurs de la forêt locale, dans la page Propriétés de
l'approbation sortante, cliquez sur Authentification pour toutes les
ressources de la forêt. Cette option est recommandée lorsque les deux
forêts appartiennent à la même organisation.
• Si vous souhaitez procéder de façon sélective et limiter l'authentification à
certains utilisateurs et groupes particuliers de la forêt, dans la page
Propriétés de l'approbation sortante, cliquez sur Authentification sélective.
Cette option est recommandée lorsque la forêt spécifiée appartient à une
autre organisation.
• Vous pouvez créer des approbations, mais également modifier des
approbations existantes. Pour cela, cliquez sur l'onglet Approbations.

Page : 12