Direction de l’approbation

Le type d’approbation et la direction qui lui est attribuée ont un impact sur le chemin d’approbation utilisé pour l’authentification. Un chemin d’approbation est une série de relations d’approbation que les demandes d’authentification doivent suivre entre les domaines. Pour qu’un utilisateur puisse accéder à une ressource d’un autre domaine, le système de sécurité sur les contrôleurs de domaine exécutant Windows Server 2008 ou Windows Server 2008 R2 doit déterminer si le domaine d’approbation (le domaine contenant la ressource à laquelle l’utilisateur tente d’accéder) entretient une relation d’approbation avec le domaine approuvé (le domaine d’ouverture de session de l’utilisateur). Pour le déterminer, le système de sécurité calcule le chemin d’approbation entre un contrôleur de domaine du domaine d’approbation et un contrôleur de domaine du domaine approuvé. Dans l’illustration ci-après, le chemin d’approbation est signalé par une flèche indiquant la direction de l’approbation.

Direction de la relation de confiance

Toutes les relations d’approbation de domaine n’ont que deux domaines dans la relation : le domaine d’approbation et le domaine approuvé.

Approbation à sens unique

Une approbation à sens unique est un chemin d’authentification unidirectionnel créé entre deux domaines. Cela signifie que dans une approbation à sens unique entre le Domaine A et le Domaine B, les utilisateurs du Domaine A peuvent accéder aux ressources du Domaine B. En revanche, les utilisateurs du Domaine B ne peuvent pas accéder aux ressources du Domaine A. Certaines approbations à sens unique peuvent être des approbations non transitives ou des approbations transitives selon le type d’approbation créé. Pour plus d’informations sur les types d’approbations, voir Présentation des types d’approbations.

Approbation bidirectionnelle

Toutes les approbations de domaine d’une forêt Windows Server 2008 ou Windows Server 2008 R2 sont des approbations transitives bidirectionnelles. Lorsqu’un nouveau domaine enfant est créé, une approbation transitive bidirectionnelle est automatiquement créée entre le nouveau domaine enfant et le domaine parent. Dans une approbation bidirectionnelle, le Domaine A approuve le Domaine B et le Domaine B approuve le Domaine A. Cela signifie que les demandes d’authentification peuvent passer entre les deux domaines dans les deux sens. Certaines relations bidirectionnelles peuvent être non transitives ou transitives selon le type d’approbation créé. Pour plus d’informations, voir Présentation des types d’approbations.

Un domaine Windows Server 2008 ou Windows Server 2008 R2 peut établir une approbation à sens unique ou bidirectionnelle avec :

  • Les domaines Windows Server 2008 ou Windows Server 2008 R2 de la même forêt

  • Les domaines Windows Server 2008 ou Windows Server 2008 R2 d’une autre forêt

  • Les domaines Windows Server 2003 de la même forêt

  • Les domaines Windows Server 2003 d’une autre forêt

  • Les domaines Windows NT 4.0

  • Les domaines Kerberos version 5 (V5)

Pour plus d’informations sur le protocole Kerberos V5, voir l’article sur l’authentification Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699) (éventuellement en anglais).

Références supplémentaires


Table des matières