Active Directory : relation d’approbation entre deux forets / domaines


Windows Server 2012R2 Windows Server 2016 Windows Server 2019

Présentation

La relation d’approbation entre deux forets / domaines Active Directory  est un lien de confiance qui permet à des utilisateurs authentifiés d’accéder à des ressources d’un autre domaine.

Une relation d’approbation peut-être :

  • Unidirectionnelle : l’accès aux ressources n’est disponible que dans un sens (A) -> (B).
  • Bidirectionnelle : l’accès aux ressources est disponible dans les deux sens (A) <-> (B).
  • Transitive : si (A) et (B) ont une relation d’approbation transitive, si (B) approuve un domaine (C) celui-ci sera approuvé dans (A).

Dans quel cas une relation d’approbation est nécessaire :

  • Mise en place d’un domaine enfant.
  • Rachat / fusion d’entreprise pour permettre l’accès ressource.
  • Segmentation du SI (géographie / service / …).

Dans ce tutoriel, nous allons voir comment mettre en place une relation d’approbation entre deux forêts comme si nous venions d’acquérir une société.

Schéma relation d'approbation

Pré-requis

Afin de pouvoir faire correctement discuter les forets entre elles, il est nécessaire de mettre en place un redirecteur conditionnel sur chaque serveur DNS.

Configurer la relation d’approbation

Les manipulations ont été effectuées sur un contrôleur de domaine sur lab.intra.

Ouvrir la console Domaine et approbation Active Directory, faire un clic droit sur le domaine 1 et cliquer sur Propriétés 2.

Console domaine et approbation Active Directory / Active Directory Domain and Trust Console

Aller sur l’onglet Approbations 1 et cliquer sur Nouvelle approbation 2 pour lancer l’assistant.

approbations / approvals

Au lancement de l’assistant, cliquer sur Suivant 1.

Wizard

Indiquer le domaine 1 avec qui la relation d’approbation est effectuée et cliquer sur Suivant 2.

Domain approval / Domaine approuvé

Choisir le type d’approbation : Approbation de forêt 1 et cliquer sur Suivant 2.

type de relation d'approbation / type of trust relationship

Configurer la direction de l’approbation, dans l’exemple nous allons choisir une direction Bidirectionnel 1 et cliquer sur Suivant 2 pour valider.

Direction de la relation d'approbation / Directorate of the trust relationship

Choisir l’option Ce domaine et le domaine spécifié 1, ceci permet de créer directement l’approbation sur l’autre domaine. Cliquer sur Suivant 1.

Config approval

Entrer les identifiants 1 d’un compte Administration dans le domaine spécifié puis cliquer sur Suivant 2.

credential remote domain

Choisir l’option Authentification pour toutes les ressources de la forêt 1 et cliquer sur Suivant 2.

Niveau d'authentification d'approbation / Approval authentication level

Authentification pour toutes les ressources de la forêt va permettre aux utilisateurs des deux domaines d’ouvrir des sessions sur l’ensemble des postes disponible. Si vous souhaitez mettre en place une Authentification sélective, je vous invite à consulter cet article.

Choisir également Authentification pour toutes les ressources de la forêt 1  pour les utilisateurs de la forêt locale vers l’autre forêt puis cliquer sur Suivant 2.

Niveau d'authentification d'approbation / Approval authentication level

Un résumé de la relation d’approbation s’affiche, cliquer sur Suivant 1 pour créer la relation.

Resumé de la relation d'approbation / Summary of the approval relationship

La relation d’approbation a été créée, cliquer sur Suivant 1.

Relation d'approbation créée / Created trust relationship

Confirmer l’approbation sortante et suivante en sélection Oui 1 et  cliquant sur Suivant 2.

Cliquer sur Terminer 1 pour fermer l’assistant.

End

On voit que la relation d’approbation a bien été créée.

Sur un contrôleur de l’autre forêt, vérifier également que la relation a bien été créée.

Tester la relation d’approbation

Pour valider l’approbation, nous allons faire 2 tests :

  • Sur un poste membre du domaine lab.intra, nous allons ouvrir une session avec un utilisateur membre du domaine old.lan
  • Nous allons rendre membre un utilisateur du domaine lab.intra d’un groupe du domaine old.lan

Ouverture de session sur un poste d’un autre domaine

Sur un ordinateur du domaine lan.intra, changer l’utilisateur et entrer les identifiants d’un utilisateur du domaine old.lan en indiquant son domaine dans l’identifiant.

Approved domain user

Une fois la session ouverte, lancer une invite de commande et entrer SET, sur la capture ci-dessous on voit que l’ordinateur est dans le domaine lab.intra 1 et que l’utilisateur est membre du domaine old.lan.

Approved domain user

Rendre membre d’un groupe du domaine approuvé

Aller dans les propriétés d’un utilisateur du domaine lab.intra pour l’ajouter à un groupe. Dans la fenêtre de sélection des groupes, cliquer sur Emplacements 1.

Add group

Choisir le domaine approuvé 1 et cliquer sur OK 2.

Select domain

Sélectionner un groupe 1 et cliquer sur OK 2 pour l’ajouter à celui-ci.

Select group

L’utilisateur fait maintenant parti d’un groupe du domaine approuvé.





Laisser un commentaire