Présentation de la transitivité de l’approbation

Transitivité de l’approbation

La transitivité détermine si une approbation peut être étendue en dehors des deux domaines avec lesquels elle a été formée. Une approbation transitive peut être utilisée pour étendre des relations d’approbation avec d’autres domaines et une approbation non transitive, pour refuser des relations d’approbation avec d’autres domaines.

Approbation transitive

Chaque fois que vous créez un nouveau domaine dans une forêt, une relation d’approbation transitive bidirectionnelle est automatiquement créée entre le nouveau domaine et son domaine parent. Si les domaines enfants sont ajoutés à un nouveau domaine, le chemin d’approbation se déplace vers le haut dans la hiérarchie de domaine en étendant le chemin d’approbation initial créé entre le nouveau domaine et son domaine parent.

Les relations d’approbation transitives se déplacent vers le haut dans une arborescence de domaine au fur et à mesure de sa formation, créant ainsi des approbations transitives entre tous les domaines de l’arborescence de domaine.

Les demandes d’authentification suivent ces chemins d’approbation. Par conséquent, les comptes provenant d’un domaine de la forêt peuvent être authentifiés dans n’importe quel autre domaine de la forêt. Grâce à un processus d’ouverture de session unique, les comptes disposant des autorisations adéquates peuvent accéder aux ressources de n’importe quel domaine de la forêt.

Outre les approbations transitives par défaut, établies dans une forêt Windows Server 2008 ou Windows Server 2008 R2, vous pouvez créer manuellement les approbations transitives suivantes à l’aide de l’Assistant Nouvelle approbation :

Raccourci d’approbation : approbation transitive entre un domaine et un autre domaine de la même arborescence de domaine ou dans la même forêt, utilisée pour raccourcir le chemin d’approbation dans une arborescence de domaine ou une forêt longue et complexe.
Approbation de forêt : approbation transitive entre un domaine racine de forêt et un second domaine racine de forêt.
Approbation de domaine Kerberos : approbation transitive entre un domaine Active Directory et un domaine Kerberos V5. Pour plus d’informations sur les domaines Kerberos V5, voir l’article sur l’authentification Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699) (éventuellement en anglais).

L’illustration ci-après montre une relation d’approbation transitive bidirectionnelle entre l’arborescence de domaine A et l’arborescence de domaine 1. Tous les domaines de l’arborescence de domaine A et tous les domaines de l’arborescence de domaine 1 ont des relations d’approbation transitive par défaut. Par conséquent, les utilisateurs de l’arborescence de domaine A peuvent accéder aux ressources des domaines de l’arborescence de domaine 1 et les utilisateurs de l’arborescence de domaine 1 peuvent accéder aux ressources de l’arborescence de domaine A, lorsque les autorisations adéquates sont attribuées à ces ressources.

Une relation de confiance transitive bidirectionnelle connecte les domaines

Pour plus d’informations sur les types d’approbations, voir Présentation des types d’approbations.

Approbation non transitive

Une approbation non transitive est limitée par les deux domaines de la relation d’approbation et ne se déplace pas vers d’autres domaines de la forêt. Une approbation non transitive peut être une approbation bidirectionnelle ou une approbation à sens unique. Les approbations non transitives sont à sens unique par défaut, même si vous pouvez également créer une relation bidirectionnelle en créant deux approbations à sens unique.

En résumé, les approbations de domaine non transitives constituent l’unique forme de relation d’approbation possible entre :

Un domaine Windows Server 2008 ou Windows Server 2008 R2 et un domaine Windows NT
Un domaine Windows Server 2008 ou Windows Server 2008 R2 dans une forêt et un domaine dans une autre forêt (si les forêts ne sont pas liées par une approbation de forêt)

À l’aide de l’Assistant Nouvelle approbation, vous pouvez créer manuellement les approbations non transitives suivantes :

Approbation externe : approbation non transitive créée entre un domaine Windows Server 2008 ou Windows Server 2008 R2 et un domaine Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2 dans une autre forêt.
Approbation de domaine Kerberos : approbation non transitive entre un domaine Active Directory et un domaine Kerberos version 5 (V5). Pour plus d’informations sur les domaines Kerberos V5, voir l’article sur l’authentification Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699) (éventuellement en anglais).