Les relations d’approbations
Une relation d’approbation est un lien de confiance (Trust Relationship) établie entre deux domaines Active Directory, voire entre deux forêts Active Directory. Ces relations permettront de faciliter l’accès aux ressources entre les domaines concernés, ce qui permet de mutualiser les accès bien que les domaines disposent d’une base de données Active Directory différente.
En pratique, la création d'une relation d'approbation s'effectue à l'aide de la console nommée « Domaines et approbations », disponible dans les outils d'administration de Windows Server.
Intéressons-nous à ce concept plus en détail.
Sommaire
I. Cas d’utilisation des relations d’approbations
Les relations d’approbations peuvent s’avérer utiles et sont utilisées dans plusieurs cas de figure :
- Une entreprise dispose de plusieurs filiales avec des noms différents, donc des domaines différents, elle pourra créer des relations de confiance entre ses domaines
- Une multinationale, qui scindera son infrastructure en plusieurs domaines. Nous pouvons imaginer un par zone géographique (Europe, Asie, Amérique, etc.), il faudra là aussi créer des relations de confiance pour faciliter l’accès aux ressources.
- La fusion de deux entreprises existantes, qui utilisent à la base chacune son domaine. La relation d’approbation permettra de faciliter la fusion au niveau du système d’information (avant une éventuelle restructuration complète).
- Etc.
II. Direction et transitivité
Lorsque nous parlons de relations d’approbations, nous ne pouvons pas ignorer les notions de direction et de transitivité. Définissons ces termes :
- Direction
Dans le cadre d’une relation d’approbation, la direction peut être unidirectionnelle, c'est-à-dire uniquement dans un sens, ou bidirectionnelle, c'est-à-dire dans les deux sens. Que cela signifie-t-il ?
Une relation d’approbation unidirectionnelle signifie qu’un "domaine A" approuve un "domaine B", sans que l’inverse soit vrai. De ce fait, un utilisateur du "domaine B" pourra accéder aux ressources du "domaine A", alors que l’inverse ne sera pas possible !
Pour que cela soit possible, il faudrait que la relation d’approbation soit bidirectionnelle pour que les deux domaines s’approuvent mutuellement. Un utilisateur du "domaine A" pourrait donc accéder aux ressources du "domaine B", et inversement.
- Transitivité
Une relation d’approbation, en plus d’être unidirectionnelle ou bidirectionnelle, peut être ou ne pas être transitive.
La transitivité signifie que si un "domaine A" approuve un "domaine B", et que ce "domaine B" approuve un "domaine C", alors le "domaine A" approuvera implicitement le "domaine C". Autrement dit, « comme A approuve B et que B approuve C, alors A approuve C ».
Attention tout de même, cette transitivité se limite aux relations d’approbations entre les domaines, et non entre les forêts.
III. Les approbations prédéfinies
Les approbations prédéfinies sont des relations d’approbations créées automatiquement lorsque l’on étend une forêt ou un domaine. J’entends par là le fait d’ajouter un domaine enfant à un domaine existant, par exemple.
Si l’on dispose d’un domaine « it-connect.local » et que l’on ajoute le domaine enfant « paris.it-connect.local », il y aura automatiquement une relation de confiance entre ces deux domaines. Une relation d’approbation transitive et bidirectionnelle sera créée entre ces deux domaines. On parlera d’approbation « parent/enfant ».
IV. Les approbations externes
Il est possible de réaliser des relations d’approbations externes, c’est-à-dire entre des domaines situés dans des forêts différentes. Ces relations sont unidirectionnelles et non transitives.
Pour que l’approbation soit réciproque, il faut que chaque domaine effectue une relation vers le domaine cible, ce qui permettra d’arriver indirectement à une relation bidirectionnelle.
Avec une relation d’approbation externe, on donne l’accès uniquement au domaine depuis lequel la relation est établie. Voici un exemple :
V. Conclusion
Qu’il s’agisse des relations d’approbations créées automatiquement ou de celles que vous créerez manuellement, elles jouent un rôle important dans l’accès aux ressources.
Une arborescence de domaine bien organisée facilitera la mise en place des relations d’approbations, ce qui simplifiera la vie aussi bien aux utilisateurs qu’aux administrateurs, puisque l’accès aux ressources sera plus « libre » et l’administration plus flexible.
Il est important de noter qu’avec les relations d’approbations, l’étendue d’un compte utilisateur est agrandie, c’est-à-dire qu’il peut être utilisé au-delà du domaine auquel il appartient. De ce fait, la sécurité doit être pointilleuse sur l’ensemble des domaines et de l’infrastructure, pour ne pas laisser une porte ouverte sur un domaine, qui permettrait d’accéder à un autre domaine.
Ces relations d’approbations évitent également la nécessité de créer des comptes en doublons sur plusieurs domaines, puisqu’un seul compte utilisateur pourra être utilisé pour accéder aux ressources de plusieurs domaines. Dans un environnement multidomaines, la mutualisation devient encore plus forte grâce à ces liens de confiance inter-domaines.
« Une relation d’approbation unidirectionnelle signifie qu’un domaine A approuve un domaine B, sans que l’inverse soit appliqué. De ce fait, un utilisateur du domaine A pourra accéder aux ressources du domaine B, alors que l’inverse ne sera pas possible ! »
Faute de frappe je suppose.C’est plutôt le contraire?!
Un utilisateur du domaine B pourra accéder aux ressources du domaine A, vu que le domaine B n’ayant pas approuver le domaine A, celui-ci n’a pas accès à ses ressources
Effectivement Stéphane, faute de frappe, je vais corriger. Merci ! 🙂
salut!
moi ma préoccupation se situe au niveau des liens d’approbations entre serveurs Linux et mon serveur Windows 2012 R2.
En effet, je voudrais que les utilisateurs de mon Active Directory puissent accéder aux services (applications de monitoring, GLPI, et bien d’autres) des serveurs qui ne sont pas pris en charge par l’annuaire.
cordialement
Est-ce que la relation d’approbation peut etre partielle? CAD que si un domaine A approve un domaine B, tout utilisateur du domaine B peut avoir accès à toutes les ressources du domaine A ou on peut définir des limites ?
Je suis RSSI dans un grand organisme (ministère) qui comporte plusieurs directions générales qui ont historiquement acquis une indépendance dans la gestion de leurs SI. Plusieurs ont leur propres domaines (AD) et système de messageries indépendamment du DSI centrale qui vient d’etre crée récemment. Je pense proposer une architecture en forêt afin de fédrer l’ensemble des des AD et systèmes de messageries existant ce qui me permettrais de mettre en place un dispositif de sécurité valable pour l’ensemble des unités de l’organisme.
Est ce que la relation d’approbation peut etre partielle? CAD, est ce qu’on resreindre l’accès à certain utilisateurs sur un nombre limité de ressource
Bonsoir,
La relation d’approbation n’ajoute pas de droits sur vos dossiers partagés existants. Mais, elle vous offre la possibilité de donner des droits à une ressource partagée dans le domaine A à des utilisateurs du domaine B. Vous gardez donc le contrôle à ce niveau. De même, elle peut être unidirectionnelle (le domaine A approuve le domaine B, mais pas l’inverse) ou bidirectionnelle (domaine A approuve domaine B, et le domaine B approuve le domaine A).
Florian
La relation d’approbation entre 2 AD affranchit-elle de la nécessité d’ouvrir des ports réseau entre 2 sous réseaux distincts ? ou faut-il prévoir d’ouvrir des autorisations au niveaux des switch afin que le sous-réseau du domaine B puisse accéder aux ressources situés sur le serveur de fichier du domaine A ? Quels ports faut-il ouvrir afin de permettre la relation d’approbation ?
quel type d’approbation faut mettre en place pour pouvoir effectuer des modifications dans un domaine enfant sans que ça soit répliqué dans le domaine parent ? toute en gardant une synchronisation du domaine parent vers l’enfant uniquement ?
Merci d’avance