logo

Approbations dans Active Directory

Les administrateurs informatiques travaillent avec Active Directory depuis l’introduction de cette technologie dans Windows 2000 Server. Windows 2000 Server a été lancé le 17 février 2000, mais de nombreux administrateurs ont commencé à travailler avec Active Directory fin 1999, à sa sortie en version RTM, le 15 décembre 1999.

Qu’est-ce qu’une approbation dans Active Directory ?

Une approbation est une relation entre des forêts et/ou des domaines.

Dans une forêt AD, tous les domaines s’approuvent entre eux car une approbation transitive à double sens est créée lorsqu’un domaine est ajouté. Cela permet la transmission de l’authentification d’un domaine à n’importe quel autre dans la même forêt.

Vous pouvez également créer des approbations en dehors de la forêt avec d’autres forêts et domaines AD DS ou des royaumes Kerberos v5.

Du temps de Windows NT 4.0, il n’existait pas de forêt ni de structure hiérarchique. Si vous aviez plusieurs domaines, vous deviez créer manuellement des approbations entre eux. Avec Active Directory, vous disposez automatiquement d’approbations transitives bidirectionnelles entre les domaines d’une même forêt. Avec Windows NT 4.0, il fallait aussi utiliser NetBIOS pour établir des approbations !

Heureusement, les choses ont bien évolué et nous disposons désormais de fonctionnalités d’approbation supplémentaires, notamment en matière de sécurisation des approbations, grâce à l’authentification sélective et au filtrage des SID (identificateurs de sécurité).

Chaque approbation d’un domaine est stockée comme un objet domaine approuvé (TDO) dans le conteneur système. Pour trouver et répertorier toutes les approbations et tous les types d’approbation dans un domaine nommé contoso.com, exécutez la commande Windows PowerShell Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties trustType | where {$_.objectClass –eq “trustedDomain”} | select Name,trustType.

Quatre valeurs sont valides pour l’attribut trustType (Type d’approbation). Cependant, seules la valeur 1 (indiquant une approbation avec un domaine NT) et la valeur 2 (indiquant une approbation avec un domaine Active Directory) sont courantes. De nombreuses autres informations utiles sur les approbations sont stockées dans l’objet domaine approuvé.

Dans un domaine nommé contoso.com,  pour examiner toutes les propriétés d’approbation, exécutez la commande Windows PowerShell Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties * | where {$_.objectClass –eq “trustedDomain”} | FL.

Vous pouvez également consulter de nombreuses propriétés fondamentales d’une approbation en exécutant la commande Get-ADTrust -Filter *.

Propriétés des approbations

Le tableau ci-dessous présente les propriétés des approbations et une description de chaque propriété.

Propriété d’approbationDescription de la propriété
DirectionLes valeurs valides sont bidirectionnelles, entrantes ou sortantes. Remarquez que la direction dépend du domaine dans lequel vous effectuez la requête.
DisallowTransivityIl s’agit vraisemblablement d’une coquille de la part de Microsoft, il faudrait lire « DisallowTransitivity » (Interdire la transitivité). Elle peut être définie comme True (Vrai) ou False (Faux) selon que l’on souhaite que l’approbation interdise ou non la transitivité.
DistinguishedNameLe nom unique d’un objet domaine approuvé.
ForestTransitiveTransitive dans la forêt : défini comme True (Vrai) lorsqu’une approbation de forêt est transitive et False (Faux) lorsqu’une approbation de forêt n’est pas transitive.
IntraForestIntraforêts : défini comme True (Vrai) dans le cas d’une approbation entre des domaines d’une même forêt et False (Faux) dans le cas d’une approbation entre des domaines de différentes forêts.
IsTreeParentEst racine d’arborescence : les valeurs valides sont True (Vrai) et False (Faux).
IsTreeRootEst racine d’arborescence : les valeurs valides sont True (Vrai) et False (Faux).
NameLe nom du domaine faisant partie de l’approbation, et non le domaine dans lequel la requête est exécutée.
ObjectClassClasse d’objets : définie comme trustedDomain (Domaine approuvé) pour les approbations.
ObjectGUIDIdentificateurs globaux uniques de l’approbation. Exemple : de207451-51ed-44cd-4248-85ad9fcb2d50.
SelectiveAuthenticationAuthentification sélective : définie comme True (Vrai) si l’approbation est configurée pour une authentification sélective ou sur False (Faux) si elle ne l’est pas.
SIDFilteringForestAwareDéfini comme True (Vrai) si l’approbation est configurée pour une authentification sélective.
SIDFilteringQuarantinedDéfini comme True (Vrai) lorsque le filtrage SID avec mise en quarantaine est utilisé pour une approbation. Utilisé uniquement pour les approbations externes.
SourceDéfinie comme le nom de domaine de la racine d’approbation. Dans une approbation de forêt, le nom du domaine racine de la forêt est la source.
TargetCible : définie comme le nom du domaine de l’autre côté de l’approbation.
TGTDelegationDéfinie comme True (Vrai) si la délégation complète Kerberos est activée sur les approbations de forêt sortantes. Par défaut : False (Faux).
TrustAttributesAttributs d’approbation : une valeur numérique indiquant la configuration de l’approbation.
TrustedPolicyNon renseigné
TrustingPolicyNon renseigné
TrustTypeType d’approbation : défini comme Uplevel (Niveau supérieur) pour les approbations avec des forêts et des domaines Active Directory, DownLevel (Niveau inférieur) pour les approbations pré-domaine Active Directory, comme les domaines NT 4, Kerberos realm (Royaume Kerberos) pour les approbations avec des domaines Unix/Linux.
UplevelOnlyNiveau supérieur uniquement : défini comme True (Vrai) si seuls les systèmes d’exploitation Windows 2000 et ultérieurs peuvent utiliser le lien d’approbation.
UsesAESKeysUtilise les clés AES : défini comme True (Vrai) pour les approbations de royaume qui utilisent des clés de chiffrement AES.
UsesRC4EncryptionUtilise le le chiffrement RC4 : défini comme True (Vrai) pour les approbations de royaume qui utilisent des clés de chiffrement RC4.

Du point de vue de l’évolutivité, vous devez savoir certaines choses sur les approbations :

  • Nombre maximal d’approbations pour l’authentification Kerberos.

Si un client dans un domaine approuvé tente d’accéder à une ressource dans un domaine approuvant, le client ne peut pas s’authentifier si le chemin d’approbation comporte plus de 10 liens. Dans les environnements qui comptent un grand nombre d’approbations et de longs chemins d’approbation, il est recommandé de mettre en place des approbations de raccourcis pour améliorer les performances et garantir le fonctionnement de l’authentification Kerberos.

  • Les performances se détériorent au-delà de 2400 approbations.

Les environnements très vastes et complexes peuvent comporter un très grand nombre d’approbations. Au-delà de 2400 approbations, toute approbation supplémentaire ajoutée à votre environnement peut avoir un impact significatif sur les performances des approbations, notamment en ce qui concerne l’authentification.

Vous trouverez plus d’informations élémentaires sur Active Directory dans notre didacticiel AD pour débutants.

eBook gratuit : qu\\\'est-ce qu\\\'Active Directory ?