Avantages des approbations entre forêts

travers de forêts permet aussi d’autoriser
les utilisateurs dans une forêt
trusted à  accéder aux ressources d’une
forêt trusting sans dupliquer les comptes. Ces actions ne compromettent
en rien les limites de sécurité de la
forêt.
approbations externes entre des
forêts, l’utilisation de relations entre
forêts basées sur Kerberos réduit
considérablement le nombre d’approbations
nécessaires entre les forêts.
Vous pouvez calculer le nombre d’approbations
externes nécessaires pour
maintenir les relations d’approbation
entre tous les domaines de deux forêts,
en utilisant la formule (nombre
total d’approbations externes) = (approbation
unidirectionnelle ou bidirectionnelle)
x (nombre de domaines
dans la forêt A) x (nombre de domaines
dans la forêt B).
Supposons que vous ayez une forêt
de développement (DEV, development
forest) avec trois domaines et une forêt
de production (PROD, production forest)
avec quatre domaines et que vous
vouliez une relation d’approbation bidirectionnelle
entre tous les domaines
au travers des forêts. Il vous faudrait
créer et supporter 24 relations d’approbation(
2 x 3 x 4). Un tel nombre
d’approbation est incommode mais
pas insupportable. Si, en revanche,
vous décidez d’ajouter une forêt d’intégration
(INT, integration forest) avec
quatre domaines, la topologie des approbation
se complique. Au lieu d’une
relation d’approbation entre deux forêts,
vous avez désormais trois relations
d’approbation : DEV à  PROD,
DEV à  INT et PROD à  INT. Quand vous
ajoutez les relations d’approbation
entre les deux nouvelles combinaisons,
le nombre total d’approbations à 
maintenir s’élève à  80.
Une approbation entre forêt permet
d’appliquer une stratégie importante
: une configuration de forêts de
comptes. Une forêt de comptes,
qu’illustre la figure 2, est essentiellement
une version élargie de la configuration
des domaines de comptes NT
4.0 ou des domaines de ressources.
Pour établir une forêt de comptes, assurez-
vous que tous les comptes non
test se trouvent dans la forêt d’entreprise
primaire. Ensuite, créez des approbations
entre forêts unidirectionnelles
à  partir de vos autres forêts
(c’est-à -dire, ressources) vers votre forêt
primaire. (Pour plus d’informations
sur la création d’approbations unidirectionnelles,
voir l’encadré « Création
facile d’approbation unidirectionnelles
»). Les utilisateurs peuvent se
servir de leurs comptes utilisateur primaires
pour se connecter à  n’importe
quelle forêt dans la fédération. Vous
pouvez même déléguer le droit administratif
de création d’approbation à 
des utilisateurs qui n’appartiennent
pas au groupe Enterprise Admins.
Vous vous demandez peut-être
pourquoi l’approbation entre forêts de
Windows 2003 peut comporter une autre forêt alors que l’approbation externe
de Win2K ne le peut pas. Dans
Windows 2003, un TDO (trusted domain
object) représente l’information
d’approbation basique pour des approbations
externes et des approbations
entre forêts. Dans une relation
d’approbation entre forêts, le TDO
contient un attribut supplémentaire
appelé Forest Trust Information. Cet
attribut contient des informations sur
tous les domaines présents dans la forêt
à  distance, les noms des arbres et
les éventuels suffixes de noms alternatifs.
Cette information est nécessaire
pour l’authentification du routage et
elle consulte la forêt à  distance quand
c’est nécessaire. Le GC (Global Catalog)
stocke l’information, de telle sorte
que n’importe quel DC (domain controller)
puisse l’examiner.