Authentifications (rappel) Lors d'une connexion à une ressource NT, 2 options sont possibles : Le système NT "reconnaît" le jeton de l'utilisateur et le laisse accéder à la ressource. Le système NT ne reconnaît pas le jeton de l'utilisateur et lui propose de changer d'identité. Le jeton de l'utilisateur est créé avec l'identité fournie lors de l'ouverture de session Note : Il reste possible de se connecter directement avec une identité accpetable par le système NT distant : Connecter un lecteur réseau par l'interface graphique Clic-droit sur Voisinage réseau\Connecter un lecteur réseau Connecter un lecteur réseau en ligne de commande NET USE * \\Serveur\Partage mot_de_passe /USER:nom_utilisateur Seule la première méthode est acceptable car la seconde implique de connaître les paramètres de comptes d'un autre utilisateur... Cela suppose donc que tout système NT doit avoir connaissance de tous les comptes utilisateurs susceptibles d'accéder à ses ressources : Si ces comptes appartiennent à un autre domaine, une relation d'approbation est le seul moyen d'y parvenir ! Avec une relation d'approbation, il n'est pas nécessaire de changer d'identité pour chaque connexion à une ressource d'un autre domaine.

Mise en oeuvre (1) Une relation d'approbation comporte un domaine qui fourni des comptes (le domaine de comptes) d'utilisateurs devant avoir des droits sur des ressources gérées par l'autre domaine (le domaine de ressources). Le domaine de ressources approuve toujours le domaine de comptes Configurez le domaine de comptes pour qu'il autorise le domaine de ressources à approuver (Gestionnaire des Utilisateurs pour les domaines\Stratégies\Approbations) Configurez ensuite le domaine de ressources pour qu'il approuve le domaine de comptes La relation d'approbation est immédiatement opérationnelle si elle est configurée dans ce sens. Un message doit indiquer que la relation a été établie avec succès

Mise en oeuvre (2) Dès lors que la relation d'approbation est établie, 2 possibilités sont offertes : Ouverture de session depuis un domaine distant (authentification de transfert) Importation de comptes vers le domaine de ressources Authentification de transfert Lors de l'ouverture de session, les machines du domaine qui approuve ont le choix entre : leur domaine habituel le domaine approuvé Cela permet à un utilisateur du domaine distant d'ouvrir une session sur son domaine, mais depuis une machine d'un autre domaine. Importation de comptes L'administrateur du domaine de ressources peut lister les comptes du domaine de comptes et : les importer dans les groupes locaux de son domaine afin de leur donner des droits sur ses ressources. Seul l'admin du domaine de ressources peut importer les comptes L'admin du domaine de comptes ne peut rien faire à ce stade Il est possible d'importer des GROUPES GLOBAUX ou des UTILISATEURS Les groupes LOCAUX ne migrent jamais (ils restent en local). Un groupe GLOBAL ne contient que des utilisateurs de son propre domaine

Synthèse Le domaine de COMPTES autorise le domaine de RESSOURCES à approuver Le domaine de RESSOURCES approuve le domaine de COMPTES La relation d'approbation est établie Toute machine du domaine de RESSOURCES a le choix entre les 2 domaines à l'ouverture de session L'admin du domaine de RESSOURCES peut: importer des comptes d'utilisateurs importer des groupes GLOBAUX dans ses groupes LOCAUX L'admin du domaine de RESSOURCES attribue, à ses groupes locaux, des droits sur ses ressources Les utilisateurs du domaine de comptes (en bleu) sont les seuls à pouvoir accéder, potentiellement, à toute ressource des 2 domaines. Les utilisateurs du domaine de ressources (en rouge) ne peuvent accéder qu'aux ressources de leur domaine.

Comptes locaux Il s'agit de COMPTES, et non de groupes ! Les comptes globaux sont les comptes créés par défaut sous NT : L'utilisateur peut ouvrir une session depuis toute machine du domaine Un utilisateur d'un domaine distant peut fournir un compte global afin de se connecter à une ressource "en tant que" Si pour des raisons de bande passsante il n'est pas possible ou envisageable d'établir une relation d'approbation entre deux domaines, comment permettre à des utilisateurs d'un domaine distant d'avoir accès aus ressources de mon propre domaine ? Soit leur créer un compte global dans mon domaine: Les utilisateurs distants peuvent fournir les paramètres de ce compte lorsqu'ils se connectent à mes ressources mais n'importe quel utilisateur peut ouvrir une session localement avec ce compte Soit leur créer un compte local dans mon domaine Les utilisateurs distants peuvent fournir les paramètres de ce compte lorsqu'ils se connectent à mes ressources mais l'ouverture de session locale est impossible avec ce compte Les comptes locaux ne peuvent pas être utilisés pour ouvrir une session sur mon domaine Seuls les utilisateurs distants qui ont déjà ouvert une session sur leur propre domaine peuvent utiliser ce compte local afin d'accéder aux ressources de mon domaine Un compte local est un compte réservé aux utilisateurs extérieurs, qui interdit l'ouverture de session interactive

Divers - Avant d'établir une relation d'approbation, vous devez IMPERATIVEMENT déconnecter toute session entre les deux domaines de l'approbation. - Il n'est pas possible de "réparer" une relation qui a été brisée d'un côté : Le plus simple consiste à la casser complètement et la refaire ! - Une relation d'approbation reste fonctionnelle tant qu'au moins un contrôleur de domaine (CPD ou CSD) fonctionne sur chacun des domaines. - Pour que les Administrateurs du domaine de comptes puissent administrer les deux domaines: importez le groupe global COMPTES\Admins du domaine dans les groupes locaux RESSOURCES\Administrateurs Les relations d'approbations ne sont pas transitives : si A approuve B et si B approuve C, A n'approuve pas C pour autant !