[07:29 | ]


L’approbation entre domaines

Via l'établissement d'une relation d'approbation entre les domaines A et B, un utilisateur du domaine A pourra utiliser les ressources du domaine B

 (ie l'administrateur de B pourra utiliser les comptes du domaine A pour attribuer des autorisations et donc rendre l'utilisation de ses propres ressources aux utilisateurs de B, domaine de ressouce). Cela peut même autoriser un utilisateur du domaine A à ouvrir une session de travail sur les machines du domaine B comme s'il était connecté sur une machine de son propre domaine (connexions automatiques, profil itinérant, ...).
L'établissement d'une relation d'approbation met en jeu la participation des administrateurs du domaine des deux domaines.
L'administrateur de A devra autoriser l'administrateur de B à l'approuver. Ensuite B pourra approuver A.
L'approbation parent-enfant entre domaines Windows 2003 ou 2000 est commutative et transitive. Les approbations externes (avec domaine Windows NT 4.0 ou NT 3.51 ou avec domaine d'une autre forêt) ne sont ni commutatives, ni transitives.

Menu contextuel
associé à la clé
"Domaines et approbations
Active Directory"
Menu contextuel
associé
à un domaine
référencé
Propriétés d'un domaine référencé
Après installation initiale, un domaine Windows 2000
est configuré en mode mixte,
i.e. il interopère avec les domaines
des versions antérieures de Windows
Autres domaines approuvés
Autres domaines qui vous approucvent
Pour l'instant, rien nul part
Utilisateur gestionnaire
Exemple: On souhaite que les utilisateurs du domaine Windows NT 4.0 IUP_INFO soient autorisés sur les machines du domaine Windows 2003 w2k3.univ-fcomte.fr (et réciproque).
  • S'assurer que les contrôleurs de domaine des deux domaines qui vont être utilisés pour la manipulation sont à même de communiquer l'un avec l'autre (protocole de communication correctement configuré, résolution de noms fonctionnelle).
  • Au moyen du gestionnaire des utilisateurs d'un contrôleur du domaine IUP_INFO, configurer une autorisation d'approbation (attribution d'un mot de passe) pour le domaine w2k3.univ-fcomte.fr (W2K3 en terminologie NT 4.0).
Approbation préparée du coté Windows NT 4.0
  • Au moyen du gestionnaire d'approbation d'un contrôleur du domaine w2k3.univ-fcomte.fr, configurer l'approbation des utilisateurs du domaine IUP_INFO (indication du mot de passe créé à cette intention).
Approbation01.gif (10994 octets)
Aucune relation d'approbation établie
ApprobationCreation01.gif (19677 octets)
Lancement de l'assistant de création d'une nouvelle approbation
ApprobationCreation02.gif (20423 octets)
Indication du domaine cible
ApprobationCreation03.gif (25932 octets)
Sens de l'approbation (bidirectionnelle, entrante ou sortante)
ApprobationCreation04.gif (27415 octets)
Niveau d'authentification
ApprobationCreation05.gif (24469 octets)
Indication du mot de passe de la relation d'approbation
ApprobationCreationConfirmation.gif (13357 octets)
Confirmation de la création de la relation d'approbation
ApprobationCreationAcquittement.gif (13332 octets)
Relation d'approbation créée -> Configuration
Relation d'approbation bidirectionnelle configurée du coté NT 4.0 pour que la confirmation de l'approbation fonctionne.
ApprobationCreationConfirmation01.gif (20062 octets)
Confirmation de l'approbation sortante
ApprobationCreationConfirmation02.gif (13759 octets)
Confirmation de l'approbation entrante
ApprobationCreationConfirmationFin.gif (17478 octets)
Approbation configurée et fonctionnelle dans les deux sens
ApprobationCreationFin01.gif (8079 octets)
Information
ApprobationCreationFin02.gif (11422 octets)
Nouvel état des relations d'approbation
AppropriationProprietes01.gif (12438 octets)
Propriétés générales
ApprobationProprietesValidation01.gif (8877 octets)
Demande de validation
ApprobationProprietesValidation02.gif (6254 octets)
Validation effectuée
AppropriationProprietes02.gif (11313 octets)
Authentification
  • Ouverture de session de travail sur des machines d'autres domaines comme si ces machines appartenaient au domaine natif du compte
  • Utilisation sécurisée de ressources réseau proposées sur des serveurs d'autres domaines
ApprobationAffectationAutorisations01.gif (14420 octets)
Affectation d'autorisations sur un répertoire
ApprobationAffectationAutorisations02.gif (8512 octets)
Fenêtre d'ajout d'un utilisateur ou d'un groupe d'utilisateurs
ApprobationAffectationAutorisations03.gif (8599 octets)
Deux domaines reconnus comme emplacement
ApprobationAffectationAutorisations04.gif (8194 octets)
Recherche dans le domaine IUP_INFO
ApprobationAffectationAutorisations05.gif (18164 octets)
Utilisation du bouton "Avancé..." pour visualiser
les utilisateurs eu groupes d'utilisateurs possibles
ApprobationAffectationAutorisations06.gif (8311 octets)
Choix de l'administrateur du domaine IUP_INFO
ApprobationAffectationAutorisations07.gif (14543 octets)
IUP_INFO\Administrateur dans la liste des autorisations

Maitre d'opérations (Opération à maître unique)
Via l'option "Maître d'opérations" sur la clé "Domaine et approbation Active Directory"
MaitreAttributionNomsDomaine.gif (7955 octets)
Configuration du maître d'attribution des noms de domaine