Takouine

Les relations d’approbations

Une relation d’approbation est un lien de confiance (Trust Relationship) établie entre deux domaines Active Directory, voir même entre deux forêts Active Directory. Ces relations permettront de faciliter l’accès aux ressources entre les domaines concernés, ce qui permet de mutualiser les accès bien que les domaines disposent d’une base de données Active Directory différente.

On crée les relations d’approbations par l’intermédiaire de la console « Domaines et approbations » intégrée àWindows Server.

Intéressons-nous à ce concept plus en détail.

I. Cas d’utilisation des relations d’approbations

Les relations d’approbations peuvent s’avérer utiles et sont utilisées dans plusieurs cas de figure :

– Une entreprise dispose de plusieurs filiales avec des noms différents, donc des domaines différents, elle pourra créer des relations de confiance entre ses domaines

– Une multinationale, qui scindera son infrastructure en plusieurs domaines, on peut imaginer un par zone géographique (Europe, Asie, Amérique, etc), il faudra là aussi créer des relations de confiance pour faciliter l’accès aux ressources.

– La fusion de deux entreprises existantes, qui utilisent à la base chacune leur domaine. La relation d’approbation permettra de faciliter la fusion au niveau du système d’information (avant une éventuelle restructuration complète)

– Etc.

II. Direction et transitivité

Lorsque l’on parle de relations d’approbations, on ne peut pas échapper à la notion de direction et de transitivité, il va falloir s’y faire. Définissons ces termes :

Direction

Dans le cadre d’une relation d’approbation, la direction peut être unidirectionnelle c’est-à-dire uniquement dans un sens, ou bidirectionnelle c’est-à-dire dans les deux sens. Qu’est-ce que cela signifie ?

Une relation d’approbation unidirectionnelle signifie qu’un domaine A approuve un domaine B, sans que l’inverse soit appliqué. De ce fait, un utilisateur du domaine A pourra accéder aux ressources du domaine B, alors que l’inverse ne sera pas possible !

Pour que cela soit possible, il faut que la relation d’approbation soit bidirectionnelle pour que les deux domaines s’approuvent mutuellement. Un utilisateur du domaine A pourra alors accéder aux ressources du domaine B, et inversement.

Transitivité

Une relation d’approbation, en plus d’être unidirectionnelle ou bidirectionnelle, peut être ou ne pas être transitive.

La transitivité signifie que si un domaine A approuve un domaine B, et que ce domaine B approuve un domaine C, alors le domaine A approuvera implicitement le domaine C. Autrement dit, « comme A approuve B et que B approuve C, alors A approuve C ».

Attention tout de même, cette transitivité se limite aux relations d’approbations entre les domaines, et non entre les forêts.

III. Les approbations prédéfinies

Les approbations prédéfinies sont des relations d’approbations créées automatiquement lorsque l’on étend une forêt ou un domaine. J’entends par là le fait d’ajouter un domaine enfant à un domaine existant, par exemple.

Si l’on dispose d’un domaine « it-connect.local » et que l’on ajoute le domaine enfant « paris.it-connect.local », il y aura automatiquement une relation de confiance entre ces deux domaines. Une relation d’approbation transitive et bidirectionnelle sera créée entre ces deux domaines. On parlera d’approbation « parent/enfant ».

IV. Les approbations externes

Il est possible de réaliser des relations d’approbations externes, c’est-à-dire entre des domaines situés dans des forêts différentes. Ces relations sont unidirectionnelles et non transitives.

Pour que l’approbation soit réciproque, il faut que chaque domaine effectue une relation vers le domaine cible, ce qui permettra d’arriver indirectement à une relation bidirectionnelle.

Avec une relation d’approbation externe, on donne l’accès uniquement au domaine depuis lequel la relation est établie. Voici un exemple :

cours-active-directory-24

V. Conclusion

Qu’il s’agisse des relations d’approbations créées automatiquement ou de celles que vous créerez manuellement, elles jouent un rôle important dans l’accès aux ressources.

Une arborescence de domaine bien organisée facilitera la mise en place des relations d’approbations, ce qui simplifiera la vie aussi bien aux utilisateurs qu’aux administrateurs, puisque l’accès aux ressources sera plus « libre » et l’administration plus flexible.

Il est important de noter qu’avec les relations d’approbations, l’étendue d’un compte utilisateur est agrandie, c’est-à-dire qu’il peut être utilisé au-delà du domaine auquel il appartient. De ce fait, la sécurité doit être pointilleuse sur l’ensemble des domaines et de l’infrastructure, pour ne pas laisser une porte ouverte sur un domaine et qui permettrait d’accéder à un autre domaine.

Ces relations d’approbations évitent également la nécessité de créer des comptes en doublons sur plusieurs domaines, puisqu’un seul compte utilisateur pourra être utilisé pour accéder aux ressources de plusieurs domaines. Dans un environnement multidomaine, la mutualisation devient encore plus forte grâce à ces liens de confiance interdomaines.

TOUT VOIR Ajouter une remarque
VOUS
Add your Comment