Les relations d’approbations
Une relation d’approbation est un lien de confiance (Trust Relationship) établie entre deux domaines Active Directory, voir même entre deux forêts Active Directory. Ces relations permettront de faciliter l’accès aux ressources entre les domaines concernés, ce qui permet de mutualiser les accès bien que les domaines disposent d’une base de données Active Directory différente.
On crée les relations d’approbations par l’intermédiaire de la console « Domaines et approbations » intégrée à Windows Server.
Intéressons-nous à ce concept plus en détail.
Sommaire
I. Cas d’utilisation des relations d’approbations
Les relations d’approbations peuvent s’avérer utiles et sont utilisées dans plusieurs cas de figure :
- Une entreprise dispose de plusieurs filiales avec des noms différents, donc des domaines différents, elle pourra créer des relations de confiance entre ses domaines
- Une multinationale, qui scindera son infrastructure en plusieurs domaines, on peut imaginer un par zone géographique (Europe, Asie, Amérique, etc), il faudra là aussi créer des relations de confiance pour faciliter l’accès aux ressources.
- La fusion de deux entreprises existantes, qui utilisent à la base chacune leur domaine. La relation d’approbation permettra de faciliter la fusion au niveau du système d’information (avant une éventuelle restructuration complète)
- Etc.
II. Direction et transitivité
Lorsque l’on parle de relations d’approbations, on ne peut pas échapper à la notion de direction et de transitivité, il va falloir s’y faire. Définissons ces termes :
- Direction
Dans le cadre d’une relation d’approbation, la direction peut être unidirectionnelle c’est-à-dire uniquement dans un sens, ou bidirectionnelle c’est-à-dire dans les deux sens. Qu’est-ce que cela signifie ?
Une relation d’approbation unidirectionnelle signifie qu’un domaine A approuve un domaine B, sans que l’inverse soit appliqué. De ce fait, un utilisateur du domaine B pourra accéder aux ressources du domaine A, alors que l’inverse ne sera pas possible !
Pour que cela soit possible, il faut que la relation d’approbation soit bidirectionnelle pour que les deux domaines s’approuvent mutuellement. Un utilisateur du domaine A pourra alors accéder aux ressources du domaine B, et inversement.
- Transitivité
Une relation d’approbation, en plus d’être unidirectionnelle ou bidirectionnelle, peut être ou ne pas être transitive.
La transitivité signifie que si un domaine A approuve un domaine B, et que ce domaine B approuve un domaine C, alors le domaine A approuvera implicitement le domaine C. Autrement dit, « comme A approuve B et que B approuve C, alors A approuve C ».
Attention tout de même, cette transitivité se limite aux relations d’approbations entre les domaines, et non entre les forêts.
III. Les approbations prédéfinies
Les approbations prédéfinies sont des relations d’approbations créées automatiquement lorsque l’on étend une forêt ou un domaine. J’entends par là le fait d’ajouter un domaine enfant à un domaine existant, par exemple.
Si l’on dispose d’un domaine « it-connect.local » et que l’on ajoute le domaine enfant « paris.it-connect.local », il y aura automatiquement une relation de confiance entre ces deux domaines. Une relation d’approbation transitive et bidirectionnelle sera créée entre ces deux domaines. On parlera d’approbation « parent/enfant ».
IV. Les approbations externes
Il est possible de réaliser des relations d’approbations externes, c’est-à-dire entre des domaines situés dans des forêts différentes. Ces relations sont unidirectionnelles et non transitives.
Pour que l’approbation soit réciproque, il faut que chaque domaine effectue une relation vers le domaine cible, ce qui permettra d’arriver indirectement à une relation bidirectionnelle.
Avec une relation d’approbation externe, on donne l’accès uniquement au domaine depuis lequel la relation est établie. Voici un exemple :
V. Conclusion
Qu’il s’agisse des relations d’approbations créées automatiquement ou de celles que vous créerez manuellement, elles jouent un rôle important dans l’accès aux ressources.
Une arborescence de domaine bien organisée facilitera la mise en place des relations d’approbations, ce qui simplifiera la vie aussi bien aux utilisateurs qu’aux administrateurs, puisque l’accès aux ressources sera plus « libre » et l’administration plus flexible.
Il est important de noter qu’avec les relations d’approbations, l’étendue d’un compte utilisateur est agrandie, c’est-à-dire qu’il peut être utilisé au-delà du domaine auquel il appartient. De ce fait, la sécurité doit être pointilleuse sur l’ensemble des domaines et de l’infrastructure, pour ne pas laisser une porte ouverte sur un domaine et qui permettrait d’accéder à un autre domaine.
Ces relations d’approbations évitent également la nécessité de créer des comptes en doublons sur plusieurs domaines, puisqu’un seul compte utilisateur pourra être utilisé pour accéder aux ressources de plusieurs domaines. Dans un environnement multidomaine, la mutualisation devient encore plus forte grâce à ces liens de confiance interdomaines.
« Une relation d’approbation unidirectionnelle signifie qu’un domaine A approuve un domaine B, sans que l’inverse soit appliqué. De ce fait, un utilisateur du domaine A pourra accéder aux ressources du domaine B, alors que l’inverse ne sera pas possible ! »
Faute de frappe je suppose.C’est plutôt le contraire?!
Un utilisateur du domaine B pourra accéder aux ressources du domaine A, vu que le domaine B n’ayant pas approuver le domaine A, celui-ci n’a pas accès à ses ressources
Effectivement Stéphane, faute de frappe, je vais corriger. Merci ! 🙂
salut!
moi ma préoccupation se situe au niveau des liens d’approbations entre serveurs Linux et mon serveur Windows 2012 R2.
En effet, je voudrais que les utilisateurs de mon Active Directory puissent accéder aux services (applications de monitoring, GLPI, et bien d’autres) des serveurs qui ne sont pas pris en charge par l’annuaire.
cordialement
Est-ce que la relation d’approbation peut etre partielle? CAD que si un domaine A approve un domaine B, tout utilisateur du domaine B peut avoir accès à toutes les ressources du domaine A ou on peut définir des limites ?
Je suis RSSI dans un grand organisme (ministère) qui comporte plusieurs directions générales qui ont historiquement acquis une indépendance dans la gestion de leurs SI. Plusieurs ont leur propres domaines (AD) et système de messageries indépendamment du DSI centrale qui vient d’etre crée récemment. Je pense proposer une architecture en forêt afin de fédrer l’ensemble des des AD et systèmes de messageries existant ce qui me permettrais de mettre en place un dispositif de sécurité valable pour l’ensemble des unités de l’organisme.
Est ce que la relation d’approbation peut etre partielle? CAD, est ce qu’on resreindre l’accès à certain utilisateurs sur un nombre limité de ressource
Bonsoir,
La relation d’approbation n’ajoute pas de droits sur vos dossiers partagés existants. Mais, elle vous offre la possibilité de donner des droits à une ressource partagée dans le domaine A à des utilisateurs du domaine B. Vous gardez donc le contrôle à ce niveau. De même, elle peut être unidirectionnelle (le domaine A approuve le domaine B, mais pas l’inverse) ou bidirectionnelle (domaine A approuve domaine B, et le domaine B approuve le domaine A).
Florian
La relation d’approbation entre 2 AD affranchit-elle de la nécessité d’ouvrir des ports réseau entre 2 sous réseaux distincts ? ou faut-il prévoir d’ouvrir des autorisations au niveaux des switch afin que le sous-réseau du domaine B puisse accéder aux ressources situés sur le serveur de fichier du domaine A ? Quels ports faut-il ouvrir afin de permettre la relation d’approbation ?
quel type d’approbation faut mettre en place pour pouvoir effectuer des modifications dans un domaine enfant sans que ça soit répliqué dans le domaine parent ? toute en gardant une synchronisation du domaine parent vers l’enfant uniquement ?
Merci d’avance