par Randy Franklin Smith. Mise en ligne : 21 mars 2007; Publication Windows ITPro Magazine : Juin 2005
Les relations d’approbation constituent un moyen efficace d’arrêter et de valider SSO (single sign-on) sur des forêts d’AD (Active Directory), des domaines Windows NT et AD, et même des royaumes Kerberos non-Windows. Mais l’approbation a son prix. Dans une forêt comportant des domaines d’approbation, des administrateurs malveillants peuvent causer des dégâts sur une plus grande échelle et les DC (domain controllers), qui sont physiquement vulnérables, exposent toute la forêt. Examinons donc les fondamentaux des relations d’approbation et pointons-en les risques potentiels. J’expliquerai ensuite comment atténuer ces risques en présence des différents types de relations d’approbations qui existent aujourd’hui dans Windows Server 2003 et Windows 2000.
Relation d’approbation ou non?
En matière de conception d’AD de haut niveau (c’est-à-dire, quand il s’agit de diviser l’environnement en forêts et en domaines), il y a plusieurs manières de procéder. L’une des principales exigences de la conception d’AD de haut niveau est d’appliquer la bonne dose de séparation entre les différents secteurs de l’entreprise. Dans l’idéal, une entreprise met en oeuvre une forêt unique constituée d’un ou plusieurs domaines. Dans la mesure où l’implémentation d’AD comporte une forêt unique, les utilisateurs ont une vue cohérente du réseau et chacun d’eux peut n’avoir qu’un compte.
En même temps, vous pouvez diviser la forêt en plusieurs domaines, de manière à appliquer la séparation requise entre les différentes équipes d’administrateurs ou types d’utilisateurs. Malheureusement, une entreprise compte souvent de multiples forêts, pour diverses raisons.
Si une société acquiert en une autre ou fusionne avec elle, la nouvelle entité se retrouve souvent avec deux forêts sur le même réseau. Certaines organisations estiment que les domaines dans une forêt ne séparent pas assez l’autorité administrative et, par conséquent, optent pour des forêts multiples. Parfois aussi, selon le secteur d’activité d’une entreprise, des lois, des règlements, ou des contraintes administratives, imposent une conception multiforêt.
Téléchargez cette ressource
Rapport mondial 2025 sur la réponse à incident
Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.
Les articles les plus consultés
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Afficher les icônes cachées dans la barre de notification
- Une baie de stockage c’est quoi ?
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
Les plus consultés sur iTPro.fr
- Le Club EBIOS, une communauté dédiée à la gestion des risques autour de la méthode EBIOS
- La difficile mise en conformité avec les réglementations pour les entreprises françaises
- Les risques liés à l’essor fulgurant de l’IA générative
- Pourquoi est-il temps de repenser la gestion des vulnérabilités ?
- Reporting RSE : un levier d’innovation !
