Présentation des approbations

Une approbation est une relation entre des domaines qui permet aux utilisateurs d’un domaine d’être authentifiés par un contrôleur de domaine de l’autre domaine.

Dans le système d’exploitation Windows NT 4.0, les approbations sont limitées à deux domaines et la relation d’approbation est à sens unique et non transitive. Dans l’illustration ci-après, l’approbation non transitive à sens unique est indiquée par la flèche droite pointant sur le domaine approuvé.

Toutes les approbations des forêts Windows 2000 Server, Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 sont des approbations transitives bidirectionnelles. Les deux domaines d’une relation d’approbation sont donc approuvés. Comme le montre l’illustration ci-après, cela signifie que si le domaine A approuve le domaine B et que le domaine B approuve le domaine C, les utilisateurs du domaine C peuvent accéder aux ressources du domaine A (à condition que les autorisations adéquates leur aient été attribuées). Seuls les membres du groupe Admins du domaine peuvent gérer les relations d’approbation.

Un contrôleur de domaine exécutant Windows Server 2008 ou Windows Server 2008 R2 authentifie les utilisateurs et les applications à l’aide de l’un des deux protocoles suivants : Kerberos version 5 (V5) ou NTLM. Le protocole Kerberos V5 est le protocole par défaut des ordinateurs exécutant Windows 2000, Windows XP Professionnel, Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Si un ordinateur participant à une transaction ne prend pas en charge le protocole Kerberos V5, c’est le protocole NTLM qui est utilisé.

Avec le protocole Kerberos V5, le client demande un ticket d’un contrôleur de domaine de son domaine de compte vers le serveur du domaine d’approbation. Ce ticket est émis par un intermédiaire approuvé par le client et le serveur. Le client présente ce ticket approuvé au serveur dans le domaine d’approbation pour authentification. Pour plus d’informations, voir l’article sur l’authentification Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=81795) (éventuellement en anglais).

Lorsqu’un client tente d’accéder aux ressources d’un serveur d’un autre domaine à l’aide de l’authentification NTLM, le serveur contenant les ressources doit contacter un contrôleur de domaine appartenant au domaine de compte du client afin de vérifier les informations d’identification du compte.

Les objets de domaine approuvé (TDO) sont des objets représentant chaque relation d’approbation dans un domaine donné. Chaque fois qu’une relation d’approbation est établie, un objet de domaine approuvé unique est créé et stocké dans son domaine (dans le conteneur système). Les attributs, tels que la transitivité de l’approbation, le type de l’approbation et les noms de domaine réciproques, sont représentés dans l’objet de domaine approuvé.

Les objets de domaine approuvé d’approbation de forêt stockent des attributs supplémentaires pour identifier tous les espaces de noms approuvés par la forêt partenaire. Ces attributs comprennent les noms d’arborescence de domaine, les suffixes UPN, les suffixes SPN et les espaces de noms SID.

Pour plus d’informations sur les approbations de domaine, voir l’article sur les technologies d’approbation (https://go.microsoft.com/fwlink/?LinkId=92695) (éventuellement en anglais). Pour plus d’informations sur les relations d’approbation, voir l’article sur la conception d’une stratégie d’autorisation des ressources (https://go.microsoft.com/fwlink/?LinkId=92696) (éventuellement en anglais).