Comment créer et vérifier une approbation externe de forêt Active Directory – Bien choisir son serveur d impression
Vous devez créer des approbations entre les domaines Active Directory et les forêts Active Directory pour garantir que les utilisateurs de l'autre annuaire peuvent accéder aux ressources de chaque annuaire en fonction des besoins. Il n'est pas nécessaire de créer des approbations entre les domaines de la même forêt Active Directory car chaque domaine de la même forêt AD se fait mutuellement confiance et autorise l'accès aux ressources si l'utilisateur du domaine de ressources est autorisé à accéder aux ressources. Cependant, si vous devez autoriser des utilisateurs d'une forêt Active Directory différente à accéder aux ressources de votre Active Directory de production, vous devrez créer une approbation externe. Cet article explique deux façons de créer une approbation externe et explique également comment vous pouvez vérifier l'approbation pour vous assurer que l'approbation est en place.
Sommaire
Création d'une approbation externe
La création d'une approbation externe entre les forêts Active Directory est très simple. Cependant, vous devez vous assurer que vous remplissez les conditions mentionnées ci-dessous avant de procéder à la création de l'approbation:
- Assurez-vous de vous connecter à Active Directory à l'aide d'un compte d'utilisateur membre des administrateurs de domaine ou des administrateurs d'entreprise. La création d'une approbation externe nécessite les privilèges les plus élevés, car vous autorisez les utilisateurs d'une forêt Active Directory différente à accéder aux ressources de votre Active Directory de production.
- Assurez-vous de configurer correctement le DNS sur les deux forêts Active Directory. Il est important de comprendre que la configuration du DNS est une exigence obligatoire avant la création de l'approbation externe. C'est parce que le nom de domaine des forêts Active Directory doit être résolu avant que l'approbation ne puisse être créée. Vous devez créer une zone de transfert conditionnelle dans le serveur DNS racine des deux forêts Active Directory.
- Assurez-vous que les ports du pare-feu sont ouverts entre les deux répertoires pour que l'opération d'approbation réussisse.
Une fois que vous avez satisfait à ces exigences, vous pouvez créer une approbation externe. Il existe deux façons de créer la confiance; à l'aide du composant logiciel enfichable Domaines et approbations Active Directory ou à l'aide de l'outil de ligne de commande NetDom. Bien que la ligne de commande NetDom aide à créer l'approbation rapidement, mais comme la création d'une approbation externe est une opération ponctuelle, de nombreux administrateurs Active Directory utilisent le composant logiciel enfichable Domaines et approbations Active Directory pour éviter toute complication et suivre les étapes faciles fournies pendant l'assistant de création d'approbation.
Étapes pour créer une approbation externe
- Connectez-vous à un contrôleur de domaine Active Directory à l'aide d'un compte d'utilisateur membre du groupe de sécurité Administrateurs de domaine ou Administrateurs d'entreprise.
- Ouvrez le composant logiciel enfichable Domaines et approbations Active Directory à partir du menu Démarrer. Vous pouvez également taper Domain.msc dans la recherche de démarrage.
- Dans le composant logiciel enfichable Domaines et approbations Active Directory, cliquez directement sur le domaine, puis cliquez sur l'action Propriétés. Dans l'onglet Propriétés, vous devez accéder à l'onglet «Fiducies».
- Dans l'onglet Approbations, cliquez sur le bouton «Nouvelle approbation», puis cliquez sur le bouton Suivant pour vous montrer l'assistant de création d'approbation.
- Voici quelques éléments que vous devez considérer avant de continuer:
- Si vous avez obtenu les informations d'identification pour les deux forêts Active Directory, vous pouvez créer les deux côtés des approbations externes en même temps en cliquant sur "Ce domaine et le domaine spécifié»Dans l'assistant de création d'approbation.
- Si vous souhaitez autoriser les utilisateurs du domaine à accéder à toutes les ressources du domaine cible, vous devez cliquer sur "Autoriser l'authentification pour toutes les ressources»Qui s'affiche sur la page Propriétés de l'approbation sortante pendant l'assistant de création d'approbation.
- Ensuite, vous devrez entrer le nom de domaine cible et le nom de domaine peut être au format FQDN ou au nom NetBIOS.
- Sur la page Type d'approbation, cliquez sur «Approbation externe», puis sur Suivant.
- Sur la page Répertoire de confiance, vous pouvez sélectionner les approbations «unidirectionnelles» ou «bidirectionnelles». Selon votre sélection, vous aurez différentes options.
- Enfin, suivez les instructions fournies par l'assistant pour terminer l'approbation.
Si vous souhaitez créer une approbation externe à l'aide de l'outil de ligne de commande NetDom, la commande suivante montre comment créer une approbation externe bidirectionnelle entre le domaine Active Directory local et le domaine cible:
NetDom Trust TechGenix.com /D:Example.TechGenix.Com / Add / Twoway
Plusieurs commutateurs sont disponibles avec l'outil de ligne de commande NetDom. Par exemple, vous pouvez utiliser le commutateur «/ SelectiveAUTH: Oui» pour activer le scénario d'authentification sélective pour l'approbation.
Comme nous l'avons indiqué précédemment, il est facile d'utiliser le composant logiciel enfichable Domaines et approbations Active Directory pour créer une approbation externe, car la création d'une approbation externe est une opération unique. Cependant, vous devrez vérifier la confiance régulièrement pour vous assurer que la confiance est en place. Pour vérifier la confiance, il est toujours préférable d'utiliser l'outil de ligne de commande NetDom. Pour vérifier la confiance en utilisant NetDomin, vous exécuterez la commande ci-dessous:
NetDom Trust TechGenix.com /D:Example.TechGenix.Com / Verify
Deux façons de le faire
Nous avons expliqué le processus de création d'une approbation externe entre les forêts Active Directory à l'aide des domaines et approbations Active Directory et de l'outil de ligne de commande NetDom. Si le besoin s'en fait sentir, vous savez maintenant comment le faire.
Vues du message:
8 196
Commentaires
Laisser un commentaire