Principe de la forêt de ressources

de travail collaboratif. Cette forêt dédiée ne dispose d’aucun compte utilisateur actif permettant une connexion (en dehors des comptes d’administration) et aucun poste de travail n’appartient à cette forêt (en dehors des postes d’administration). Seuls les serveurs qui fournissent des services, et donc des ressources applicatives, sont intégrés dans cette forêt. Les utilisateurs et les postes de travail des utilisateurs sont localisés dans d’autres forêts (une ou plusieurs forêts possibles) qui sont gérées de manière autonome par les responsables informatiques de ces filiales ou entreprises du groupe.

Ces forêts qui gèrent les comptes utilisateurs et les poste de travail sont désigné par le terme de forêt de comptes. Une relation d’approbation doit être mise en place entre la ou les forêt(s) de comptes et la forêt de ressources pour permettre aux utilisateurs d’avoir des droits sur les objets et application de la forêt de ressources. La relation d’approbation peut être bidirectionnelle, mais il faut au moins une relation d’approbation unidirectionnelle dans le sens qui permet à la forêt de ressources d’approuver les comptes de la ou des forêt(s) de comptes, donc de la forêt de ressources vers la forêt de comptes.
Cette solution apporte plusieurs avantages, mais aussi des contraintes.

Le premier avantage est la possibilité de consolider l’architecture de messagerie au sein d’une entreprise ayant de multiples filiales ou constituée de différents groupes au sein d’une holding. Cette solution permet aussi une séparation de l’administration des utilisateurs et de l’administration de la messagerie. Cette architecture facilite l’intégration de nouvelles entités au sein de l’architecture d’entreprise, elle apporte aussi son lot de contraintes (qui sont aussi considérées comme des avantages dans certains cas) qui sont la séparation de l’administration des utilisateurs et des attributs de messagerie ou encore la mise en place d’une infrastructure Active Directory séparée pour la mise en place des serveurs d’application.

Il est intéressant de noter que la séparation des opérations d’administration devient de moins en moins souvent une difficulté pour les entreprises surtout maintenant, avec les possibilités de gestion à distance qui sont intégrées dans Exchange 2010 avec des technologies telles que Remote PowerShell comme cela sera abordé dans la partie de mise en œuvre de ce dossier.

La séparation des annuaires de comptes et de ressources impose l’utilisation d’un mécanisme de synchronisation entre les annuaires. Ce mécanisme de synchronisation permet de répercuter les mises à jour d’Active Directory d’une forêt de comptes vers la forêt de ressources Exchange, comme par exemple dans le cas de la création d’un nouvel utilisateur. De manière générale, il faut s’assurer que, lorsqu’un nouvel objet est créé dans une forêt, les objets correspondants soient bien créés dans l’autre forêt. Par exemple, lors de la création d’un utilisateur dans une forêt, vérifiez qu’un compte adapté aux besoins est créé pour cet utilisateur dans l’autre forêt. Ces opérations de création des objets correspondants peut s’effectuer manuellement ou de manière automatisée au travers de scripts ou en utilisant des outils ou logiciels spécifiques.

La suite de votre dossier

Mise en place de la relation d’approbation entre les forêts

Mise en place de la relation d’approbation entre les forêts

Mise en place des serveurs d’application

Mise en place des serveurs d’application