Les administrateurs informatiques travaillent avec Active Directory depuis l’introduction de cette technologie dans Windows 2000 Server. Windows 2000 Server a été lancé le 17 février 2000, mais de nombreux administrateurs ont commencé à travailler avec Active Directory fin 1999, à sa sortie en version RTM, le 15 décembre 1999.
Qu’est-ce qu’une approbation dans Active Directory ?
Une approbation est une relation entre des forêts et/ou des domaines.
Dans une forêt AD, tous les domaines s’approuvent entre eux car une approbation transitive à double sens est créée lorsqu’un domaine est ajouté. Cela permet la transmission de l’authentification d’un domaine à n’importe quel autre dans la même forêt.
Vous pouvez également créer des approbations en dehors de la forêt avec d’autres forêts et domaines AD DS ou des royaumes Kerberos v5.
Du temps de Windows NT 4.0, il n’existait pas de forêt ni de structure hiérarchique. Si vous aviez plusieurs domaines, vous deviez créer manuellement des approbations entre eux. Avec Active Directory, vous disposez automatiquement d’approbations transitives bidirectionnelles entre les domaines d’une même forêt. Avec Windows NT 4.0, il fallait aussi utiliser NetBIOS pour établir des approbations !
Heureusement, les choses ont bien évolué et nous disposons désormais de fonctionnalités d’approbation supplémentaires, notamment en matière de sécurisation des approbations, grâce à l’authentification sélective et au filtrage des SID (identificateurs de sécurité).
Chaque approbation d’un domaine est stockée comme un objet domaine approuvé (TDO) dans le conteneur système. Pour trouver et répertorier toutes les approbations et tous les types d’approbation dans un domaine nommé contoso.com, exécutez la commande Windows PowerShell Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties trustType | where {$_.objectClass –eq “trustedDomain”} | select Name,trustType.
Quatre valeurs sont valides pour l’attribut trustType (Type d’approbation). Cependant, seules la valeur 1 (indiquant une approbation avec un domaine NT) et la valeur 2 (indiquant une approbation avec un domaine Active Directory) sont courantes. De nombreuses autres informations utiles sur les approbations sont stockées dans l’objet domaine approuvé.
Dans un domaine nommé contoso.com, pour examiner toutes les propriétés d’approbation, exécutez la commande Windows PowerShell Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties * | where {$_.objectClass –eq “trustedDomain”} | FL.
Vous pouvez également consulter de nombreuses propriétés fondamentales d’une approbation en exécutant la commande Get-ADTrust -Filter *.
Propriétés des approbations
Le tableau ci-dessous présente les propriétés des approbations et une description de chaque propriété.
| Propriété d’approbation | Description de la propriété |
|---|---|
| Direction | Les valeurs valides sont bidirectionnelles, entrantes ou sortantes. Remarquez que la direction dépend du domaine dans lequel vous effectuez la requête. |
| DisallowTransivity | Il s’agit vraisemblablement d’une coquille de la part de Microsoft, il faudrait lire « DisallowTransitivity » (Interdire la transitivité). Elle peut être définie comme True (Vrai) ou False (Faux) selon que l’on souhaite que l’approbation interdise ou non la transitivité. |
| DistinguishedName | Le nom unique d’un objet domaine approuvé. |
| ForestTransitive | Transitive dans la forêt : défini comme True (Vrai) lorsqu’une approbation de forêt est transitive et False (Faux) lorsqu’une approbation de forêt n’est pas transitive. |
| IntraForest | Intraforêts : défini comme True (Vrai) dans le cas d’une approbation entre des domaines d’une même forêt et False (Faux) dans le cas d’une approbation entre des domaines de différentes forêts. |
| IsTreeParent | Est racine d’arborescence : les valeurs valides sont True (Vrai) et False (Faux). |
| IsTreeRoot | Est racine d’arborescence : les valeurs valides sont True (Vrai) et False (Faux). |
| Name | Le nom du domaine faisant partie de l’approbation, et non le domaine dans lequel la requête est exécutée. |
| ObjectClass | Classe d’objets : définie comme trustedDomain (Domaine approuvé) pour les approbations. |
| ObjectGUID | Identificateurs globaux uniques de l’approbation. Exemple : de207451-51ed-44cd-4248-85ad9fcb2d50. |
| SelectiveAuthentication | Authentification sélective : définie comme True (Vrai) si l’approbation est configurée pour une authentification sélective ou sur False (Faux) si elle ne l’est pas. |
| SIDFilteringForestAware | Défini comme True (Vrai) si l’approbation est configurée pour une authentification sélective. |
| SIDFilteringQuarantined | Défini comme True (Vrai) lorsque le filtrage SID avec mise en quarantaine est utilisé pour une approbation. Utilisé uniquement pour les approbations externes. |
| Source | Définie comme le nom de domaine de la racine d’approbation. Dans une approbation de forêt, le nom du domaine racine de la forêt est la source. |
| Target | Cible : définie comme le nom du domaine de l’autre côté de l’approbation. |
| TGTDelegation | Définie comme True (Vrai) si la délégation complète Kerberos est activée sur les approbations de forêt sortantes. Par défaut : False (Faux). |
| TrustAttributes | Attributs d’approbation : une valeur numérique indiquant la configuration de l’approbation. |
| TrustedPolicy | Non renseigné |
| TrustingPolicy | Non renseigné |
| TrustType | Type d’approbation : défini comme Uplevel (Niveau supérieur) pour les approbations avec des forêts et des domaines Active Directory, DownLevel (Niveau inférieur) pour les approbations pré-domaine Active Directory, comme les domaines NT 4, Kerberos realm (Royaume Kerberos) pour les approbations avec des domaines Unix/Linux. |
| UplevelOnly | Niveau supérieur uniquement : défini comme True (Vrai) si seuls les systèmes d’exploitation Windows 2000 et ultérieurs peuvent utiliser le lien d’approbation. |
| UsesAESKeys | Utilise les clés AES : défini comme True (Vrai) pour les approbations de royaume qui utilisent des clés de chiffrement AES. |
| UsesRC4Encryption | Utilise le le chiffrement RC4 : défini comme True (Vrai) pour les approbations de royaume qui utilisent des clés de chiffrement RC4. |
Du point de vue de l’évolutivité, vous devez savoir certaines choses sur les approbations :
- Nombre maximal d’approbations pour l’authentification Kerberos.
Si un client dans un domaine approuvé tente d’accéder à une ressource dans un domaine approuvant, le client ne peut pas s’authentifier si le chemin d’approbation comporte plus de 10 liens. Dans les environnements qui comptent un grand nombre d’approbations et de longs chemins d’approbation, il est recommandé de mettre en place des approbations de raccourcis pour améliorer les performances et garantir le fonctionnement de l’authentification Kerberos.
- Les performances se détériorent au-delà de 2400 approbations.
Les environnements très vastes et complexes peuvent comporter un très grand nombre d’approbations. Au-delà de 2400 approbations, toute approbation supplémentaire ajoutée à votre environnement peut avoir un impact significatif sur les performances des approbations, notamment en ce qui concerne l’authentification.
Vous trouverez plus d’informations élémentaires sur Active Directory dans notre didacticiel AD pour débutants.
