par Sean Deuby - Mis en ligne le 17/03/2004
Utilisez Windows 2003 pour établir facilement des relations d'approbation entre
des forêts
Windows 2000 permet aux sociétés
d'intégrer leurs diverses unités de gestion
dans une structure globale - la forêt
Active Directory - ce qui
n'était pas possible avec Windows NT
4.0...Beaucoup de business units qui ne
pouvaient pas coexister dans un domaine
NT 4.0 trouvent leur place dans
leurs OU (organizational units) ou domaines
AD. Mais, comme le savent tous
ceux qui ont essayé de mettre en
oeuvre une architecture à forêt unique,
il est de nombreux cas délicats pour les
business units. Parfois, les exigences
de gestion ou la politique maison vous
imposent d'implémenter une forêt séparée.
Bien souvent, les utilisateurs
dans des forêts séparées ont toujours
besoin des ressources de la forêt centrale.
Il faut donc établir une relation
d'approbation entre les domaines de la
forêt centrale et ceux des autres forêts.
Win2K utilise pratiquement le même
processus que NT 4.0 pour établir des
liens entre des domaines de forêts différentes.
Mais la nouvelle fonction relation
d'approbation entre forêts de
Windows Server 2003 facilite cette
tâche.
Les relations d’approbations entre multiples forêts
Du point de vue de la sécurité de l’information,
un domaine est davantage
une réplication ou une limite administrative
qu’une limite de sécurité. Avec
un peu de travail, un membre du
groupe Administrators, Domain Admins
ou Enterprise Admins du domaine
racine peut s’ouvrir l’accès à
n’importe quel ordinateur de la forêt.
Le seul moyen d’isoler vraiment les ressources
consiste à les placer dans une
forêt séparée.
n’avoir qu’une forêt, il nous faut reformuler:
maintenir le nombre de forêts à
un minimum absolu ; n’autoriser des
forêts supplémentaires que si elles respectent
des critères stricts et si elles
sont approuvées par un comité d’examen. Pour en savoir plus sur les
normes permettant de décider quand
il faut créer des forêts, voir le white paper
Microsoft « Design Considerations
for Delegation of Administration in
Active Directory » (http://www.microsoft.
com/windows2000/techinfo/planning/
activedirectory/addeladmins.asp).
Ce white paper explique clairement les
limites de sécurité entre OU, domaines
et forêts et fournit un processus pour
déterminer si une business unit devrait
être dans sa ou son propre OU, domaine
ou forêt, séparée de la forêt centrale.
Quand peut-on justifier une forêt
séparée ? Les exigences se divisent en
plusieurs catégories. L’exigence la plus
connue pour établir une forêt séparée
est le besoin d’assurer l’autonomie administrative
(du genre « je ne vous fais
pas confiance »). Une autre se manifeste
quand une business unit majeure
met en oeuvre sa propre forêt Win2K,
très probablement de manière beaucoup
plus volontariste que la forêt de
production IT de la société. Comme
cette forêt va vivre un certain temps, il
faut s’en accomoder. Une autre situation
est liée au schéma de forêt.
Rappelons que le schéma (c’est-à -dire,
la définition de la structure d’AD) est
partagé dans toute la forêt. Si vous devez
changer le schéma fréquemment
(pour un test de logiciel de type AD par
exemple), vous devrez le faire dans
une forêt séparée afin de ne modifier
votre schéma de production que si
c’est vraiment nécessaire.
L’isolation des actifs est une autre
raison importante d’avoir une forêt séparée.
Par exemple, des agences dans
le domaine judiciaire doivent garder
l’information séparée des autres
agences. Dans le même esprit, des
sous-traitants de la défense auxquels
on ne confie des contrats que sur un
critère de compétence doivent présenter
une isolation totale vis-à -vis des influences
extérieures. Et certaines activités,
comme la banque, peuvent être
lourdement pénalisées en cas de partage
ou de divulgation d’informations.
Téléchargez cette ressource
Démocratiser l’adoption de l’IA par la maîtrise de ses données
Saviez-vous que 80% du temps de vos projets IA portent sur l’analyse de vos données ? explorez tous les outils nécessaires pour entreprendre une gestion performante de vos flux de données et optimiser votre architecture afin de réussir vos projets d’Intelligence Artificielle. découvrez le guide des experts Blueway.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Protégez l’accès non authentifié de vos réunions
- Télécommunications et durabilité : les défis d’une transition verte dans un secteur en mutation
- Vulnerability Operation Center : concepts, mise en œuvre et exploitation
- Faire face à l’évolution des cyberattaques : l’urgence d’une cybersécurité proactive
- Le temps où le RSSI était tenu pour seul responsable est révolu – la responsabilité incombe désormais à toute l’entreprise
