> Tech > Limitations des approbations entre forêts

Limitations des approbations entre forêts

Tech - Par iTPro - Publié le 24 juin 2010
email

Une approbation n'est pas totalement transparente aux yeux des utilisateurs. Quand un utilisateur se connecte à  un ordinateur membre d'une forêt autre que celle qui contient le compte utilisateur de l'utilisateur, celui-ci ne verra pas son domaine de compte présent dans la boîte de dialogue de connexion. L'utilisateur devra alors

Limitations des approbations entre forêts

entrer
son UPN (jimbob@bigtex.net, par
exemple). Microsoft l’a voulu ainsi
parce que des forêts multiples ont souvent
des conflits de noms NetBIOS
entre leurs domaines. Par exemple,
supposons que forest1.bigtex.net et forest2.
bigtex.net couvrent la même
zone géographique. Bien que les
FQDN (namerica.forest1.bigtex.net et
namerica.forest2.bigtex.net) soient
uniques, si les forêts n’utilisent pas le
même espace de nom WINS, elles risquent
toutes les deux d’avoir des domaines
avec le nom NetBIOS NAMERICA.
De plus, si les utilisateurs de
votre forêt ne sont pas connectés à  un
serveur Windows 2003 ou à  un client
Windows XP Service Pack 2 (SP2),
quand ils voudront ajouter un utilisateur
ou un groupe « cross-forest » à  une
ressource dans votre forêt, ils ne pourront
pas consulter la liste des utilisateurs
et des groupes pour trouver la
ressource. Les utilisateurs de votre forêt
seront alors contraints d’entrer
l’UPN de la ressource. La figure 7
montre un ACL pour une ressource
dans Forest A à  laquelle un utilisateur
de Forest B a été ajouté. L’ACE (Access
Control Entry) utilise l’UPN plutôt que
la syntaxe de compte domain\ classique.

Il y a une autre considération importante
liée aux UPN : les collisions
d’espace de nom de forêts. Par défaut,
le format UPN d’un utilisateur est account@
FQDN. Ainsi, si Jim Bob a un
compte dans le domaine enfant lubbock.
bigtex.net, son UPN par défaut
est jimbob@lubbock.bigtex.net. Vous
pourriez aussi utiliser le domaine racine
pour choisir l’UPN jimbob@bigtex.
net. De nombreuses sociétés utilisent
l’UPN du domaine racine afin que
l’UPN corresponde aux adresses e-mail
de leurs utilisateurs. Cette technique
est satisfaisante si vous n’avez qu’une
forêt avec des comptes utilisateur. Mais
que se passe-t-il si vous avez deux forêts ou plus qui contiennent des
comptes utilisateur ? Chaque membre
de la société a une adresse e-mail bigtex.
net mais, dès lors qu’une forêt
prend le suffixe UPN, une autre forêt
ne peut pas utiliser le suffixe. En interne,
vous devez choisir des suffixes
UPN uniques, non chevauchants, pour
vos utilisateurs (f1.bigtex.net, f2.bigtex.
net, par exemple). En externe, vous
pouvez utiliser bigtex.net pour le email.

Téléchargez gratuitement cette ressource

TOP 5 Modernisation & Sécurité des Postes Clients

TOP 5 Modernisation & Sécurité des Postes Clients

Pour aider les entreprises à allier les restrictions liées à la crise et la nécessaire modernisation de leurs outils pour gagner en réactivité, souplesse et sécurité, DIB-France lance une nouvelle offre « Cloud-In-One » combinant simplement IaaS et DaaS dans le Cloud, de façon augmentée.

Tech - Par iTPro - Publié le 24 juin 2010