> Tech > Les relations d’approbations entre multiples forêts

Les relations d’approbations entre multiples forêts

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Sean Deuby - Mis en ligne le 17/03/2004

Utilisez Windows 2003 pour établir facilement des relations d'approbation entre des forêts

Windows 2000 permet aux sociétés d'intégrer leurs diverses unités de gestion dans une structure globale - la forêt Active Directory - ce qui n'était pas possible avec Windows NT 4.0...Beaucoup de business units qui ne pouvaient pas coexister dans un domaine NT 4.0 trouvent leur place dans leurs OU (organizational units) ou domaines AD. Mais, comme le savent tous ceux qui ont essayé de mettre en oeuvre une architecture à  forêt unique, il est de nombreux cas délicats pour les business units. Parfois, les exigences de gestion ou la politique maison vous imposent d'implémenter une forêt séparée. Bien souvent, les utilisateurs dans des forêts séparées ont toujours besoin des ressources de la forêt centrale. Il faut donc établir une relation d'approbation entre les domaines de la forêt centrale et ceux des autres forêts. Win2K utilise pratiquement le même processus que NT 4.0 pour établir des liens entre des domaines de forêts différentes. Mais la nouvelle fonction relation d'approbation entre forêts de Windows Server 2003 facilite cette tâche.

Les relations d’approbations entre multiples forêts

Du point de vue de la sécurité de l’information,
un domaine est davantage
une réplication ou une limite administrative
qu’une limite de sécurité. Avec
un peu de travail, un membre du
groupe Administrators, Domain Admins
ou Enterprise Admins du domaine
racine peut s’ouvrir l’accès à 
n’importe quel ordinateur de la forêt.
Le seul moyen d’isoler vraiment les ressources
consiste à  les placer dans une
forêt séparée.
n’avoir qu’une forêt, il nous faut reformuler:
maintenir le nombre de forêts à 
un minimum absolu ; n’autoriser des
forêts supplémentaires que si elles respectent
des critères stricts et si elles
sont approuvées par un comité d’examen. Pour en savoir plus sur les
normes permettant de décider quand
il faut créer des forêts, voir le white paper
Microsoft « Design Considerations
for Delegation of Administration in
Active Directory » (http://www.microsoft.
com/windows2000/techinfo/planning/
activedirectory/addeladmins.asp).
Ce white paper explique clairement les
limites de sécurité entre OU, domaines
et forêts et fournit un processus pour
déterminer si une business unit devrait
être dans sa ou son propre OU, domaine
ou forêt, séparée de la forêt centrale.
Quand peut-on justifier une forêt
séparée ? Les exigences se divisent en
plusieurs catégories. L’exigence la plus
connue pour établir une forêt séparée
est le besoin d’assurer l’autonomie administrative
(du genre « je ne vous fais
pas confiance »). Une autre se manifeste
quand une business unit majeure
met en oeuvre sa propre forêt Win2K,
très probablement de manière beaucoup
plus volontariste que la forêt de
production IT de la société. Comme
cette forêt va vivre un certain temps, il
faut s’en accomoder. Une autre situation
est liée au schéma de forêt.
Rappelons que le schéma (c’est-à -dire,
la définition de la structure d’AD) est
partagé dans toute la forêt. Si vous devez
changer le schéma fréquemment
(pour un test de logiciel de type AD par
exemple), vous devrez le faire dans
une forêt séparée afin de ne modifier
votre schéma de production que si
c’est vraiment nécessaire.
L’isolation des actifs est une autre
raison importante d’avoir une forêt séparée.
Par exemple, des agences dans
le domaine judiciaire doivent garder
l’information séparée des autres
agences. Dans le même esprit, des
sous-traitants de la défense auxquels
on ne confie des contrats que sur un
critère de compétence doivent présenter
une isolation totale vis-à -vis des influences
extérieures. Et certaines activités,
comme la banque, peuvent être
lourdement pénalisées en cas de partage
ou de divulgation d’informations.

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par iTPro.fr - Publié le 24 juin 2010