Une approbation n'est pas totalement transparente aux yeux des utilisateurs. Quand un utilisateur se connecte à un ordinateur membre d'une forêt autre que celle qui contient le compte utilisateur de l'utilisateur, celui-ci ne verra pas son domaine de compte présent dans la boîte de dialogue de connexion. L'utilisateur devra alors
Limitations des approbations entre forêts
entrer
son UPN (jimbob@bigtex.net, par
exemple). Microsoft l’a voulu ainsi
parce que des forêts multiples ont souvent
des conflits de noms NetBIOS
entre leurs domaines. Par exemple,
supposons que forest1.bigtex.net et forest2.
bigtex.net couvrent la même
zone géographique. Bien que les
FQDN (namerica.forest1.bigtex.net et
namerica.forest2.bigtex.net) soient
uniques, si les forêts n’utilisent pas le
même espace de nom WINS, elles risquent
toutes les deux d’avoir des domaines
avec le nom NetBIOS NAMERICA.
De plus, si les utilisateurs de
votre forêt ne sont pas connectés à un
serveur Windows 2003 ou à un client
Windows XP Service Pack 2 (SP2),
quand ils voudront ajouter un utilisateur
ou un groupe « cross-forest » à une
ressource dans votre forêt, ils ne pourront
pas consulter la liste des utilisateurs
et des groupes pour trouver la
ressource. Les utilisateurs de votre forêt
seront alors contraints d’entrer
l’UPN de la ressource. La figure 7
montre un ACL pour une ressource
dans Forest A à laquelle un utilisateur
de Forest B a été ajouté. L’ACE (Access
Control Entry) utilise l’UPN plutôt que
la syntaxe de compte domain\ classique.
Il y a une autre considération importante
liée aux UPN : les collisions
d’espace de nom de forêts. Par défaut,
le format UPN d’un utilisateur est account@
FQDN. Ainsi, si Jim Bob a un
compte dans le domaine enfant lubbock.
bigtex.net, son UPN par défaut
est jimbob@lubbock.bigtex.net. Vous
pourriez aussi utiliser le domaine racine
pour choisir l’UPN jimbob@bigtex.
net. De nombreuses sociétés utilisent
l’UPN du domaine racine afin que
l’UPN corresponde aux adresses e-mail
de leurs utilisateurs. Cette technique
est satisfaisante si vous n’avez qu’une
forêt avec des comptes utilisateur. Mais
que se passe-t-il si vous avez deux forêts ou plus qui contiennent des
comptes utilisateur ? Chaque membre
de la société a une adresse e-mail bigtex.
net mais, dès lors qu’une forêt
prend le suffixe UPN, une autre forêt
ne peut pas utiliser le suffixe. En interne,
vous devez choisir des suffixes
UPN uniques, non chevauchants, pour
vos utilisateurs (f1.bigtex.net, f2.bigtex.
net, par exemple). En externe, vous
pouvez utiliser bigtex.net pour le email.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Et si les clients n’avaient plus le choix ?
- Activer la mise en veille prolongée dans Windows 10
- Afficher les icônes cachées dans la barre de notification
- Cybersécurité Active Directory et les attaques de nouvelle génération
