Active Directory - Définition

Relations d'approbation

Afin de permettre aux utilisateurs d'un domaine d'accéder aux ressources d'un autre domaine, AD utilise un mécanisme de relations d'approbation.

Les relations d'approbation au sein d'une même forêt sont automatiquement créées au moment de la création des domaines. Les limites par défaut des relations d'approbation sont fixées au niveau de la forêt, et non du domaine, elles sont implicites, et automatiquement transitives pour tous les domaines d'une même forêt. Toutes les relations d'approbation au sein d'une forêt sont bidirectionnelles et transitives. Cependant, afin de se connecter à d'autres forêts ou à des domaines non-AD, AD met en œuvre d'autres types de relations d'approbation : les approbations de type raccourci (shortcut) (jointures de deux domaines appartenant à des arborescences différentes, transitives, uni ou bidirectionnelles), forêt (forest) (transitives, uni ou bidirectionnelles), royaume (realm) (transitives ou intransitives, uni ou bidirectionnelles) ou externe (intransitives, uni ou bidirectionnelles).

Approbations dans Windows 2000 (mode natif)

• Unidirectionnelle - Lorsqu'un domaine permet aux utilisateurs d'accéder à un autre domaine, mais que cet autre domaine n'autorise pas l'accès aux utilisateurs du premier domaine.
• Bidirectionnelle - Lorsque deux domaines permettent à leurs utilisateurs l'accès à l'autre domaine.
• Domaine d'approbation - Le domaine qui autorise l'accès aux utilisateurs d'un domaine approuvé.
• Domaine approuvé - Le domaine qui est approuvé, dont les utilisateurs ont accès au domaine d'approbation.
• Approbation transitive - Approbation qui peut s'étendre au-delà des deux domaines aux autres domaines approuvés de la même arborescence.
• Approbation non transitive - Approbation unidirectionnelle non étendue au-delà des deux domaines.
• Approbation explicite - Approbation créée par un administrateur. Non transitive et unidirectionnelle uniquement.
• Approbation croisée - Approbation explicite entre domaines de différentes arborescences ou faisant partie de la même arborescence lorsqu'aucune relation descendant/ancêtre (enfant/parent) n'existe entre les deux domaines.

Windows 2000 - prend en charge les types d'approbation suivants:

• Approbations transitives bidirectionnelles.
• Approbations non transitives unidirectionnelles.

D'autres types d'approbations peuvent être créés par les administrateurs. Ces approbations peuvent être de type:

• Raccourci

Approbation supplémentaire dans Windows 2003 (mode natif)

Windows Server 2003 introduit un nouveau type d'approbation appelé approbation de forêt. Ce type d'approbation permet à tous les domaines d'une forêt d'approuver de manière transitive tous les domaines d’une autre forêt. Pour que cette nouvelle fonctionnalité soit disponible, il faut absolument que les deux forêts mises en relations aient un niveau fonctionnel Windows Server 2003. L'authentification à travers ce type d'approbation doit être basée sur Kerberos (et non NTLM). Les approbations de forêt sont transitives pour tous les domaines appartenant aux forêts approuvées.

Nommage

Active Directory prend en charge l'utilisation de noms UNC (\), URL (/), et LDAP pour l'accès aux objets. En interne, AD utilise la version LDAP de la structure de noms de X.500.

Chaque objet possède un identifiant unique, le nom unique (DN pour Distinguished name), ainsi un objet imprimante appelé HPLaser3 dans l'OU Marketing et faisant partie du domaine foo.org aura comme DN : CN=HPLaser3,OU=Marketing, DC=foo, DC=org où CN est le nom commun (Common Name en anglais) et DC un composant de domaine. Un DN peut être constitué de bien plus de quatre éléments. L'objet peut ainsi également posséder un nom canonique (Canonical name), généralement le DN inversé, sans identifiants, et utilisant la barre oblique (slash) comme séparateur : foo.org/Marketing/HPLaser3. Afin d'identifier l'objet à l'intérieur de son conteneur, AD utilise un nom unique relatif (RDN pour Relative distinguished name) : CN=HPLaser3. Chaque objet possède également un identifiant global unique (GUID, pour Globally Unique Identifier) qui est une chaîne de caractères de 128 bits unique et non modifiable, utilisé par AD pour les opérations de recherche et de réplication. Certains objets possèdent également un nom utilisateur principal (UPN, pour User principal name), se présentant sous la forme nom_objet@nom_domaine.