Confiances dans Active Directory
Feb 17, 2017
Les administrateurs informatiques travaillent avec et autour de Active Directory depuis l'introduction de la technologie dans Windows 2000 Server. Windows 2000 Server a été lancé le 17 février 2000, mais de nombreux administrateurs ont commencé à travailler avec Active Directory fin 1999 lorsqu'il a été publié pour la fabrication (RTM) le 15 décembre 1999.
Qu'est-ce que la confiance dans AD ?
Une trust est une relation entre des forêts et/ou domaines.
Dans une forêt AD, tous les domaines se font confiance car une two way transitive trust est créée lorsque chaque domaine est ajouté. Cela permet à l'authentification de se transmettre d'un domaine à tout autre domaine dans la même forêt.
Vous pouvez créer des trusts outside of the forest également avec d'autres forêts et domaines AD DS ou des royaumes Kerberos v5.
À l'époque de Windows NT 4.0, il n'y avait ni forêt ni structure hiérarchique. Si vous aviez plusieurs domaines, vous deviez créer manuellement des approbations entre eux. Avec Active Directory, vous avez automatiquement des approbations transitives bidirectionnelles entre les domaines dans la même forêt. À l'époque de Windows NT 4.0, vous deviez également utiliser NetBIOS pour établir des approbations !
Heureusement, les choses ont beaucoup évolué et maintenant nous disposons de fonctionnalités supplémentaires de confiance, en particulier autour de la sécurisation des trusts avec l'authentification sélective et le filtrage des SID.
Chaque confiance dans un domaine est stockée en tant qu'objet trustedDomain object (TDO) dans le System container. Ainsi, pour trouver et lister toutes les confiances et les types de confiance dans un domaine nommé contoso.com, exécutez la commande Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties trustType | where {$_.objectClass –eq “trustedDomain”} | select Name,trustType Windows PowerShell command.
Il y a 4 valeurs valides pour l'attribut trustType. Cependant, seule la valeur 1 (indiquant une confiance avec un domaine NT) et la valeur 2 (indiquant une confiance avec un domaine Active Directory) sont courantes. Il y a beaucoup d'autres bonnes informations sur les confiances stockées dans l'objet trustedDomain.
Dans un domaine nommé contoso.com, exécutez la commande Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties * | where {$_.objectClass –eq “trustedDomain”} | FL Windows PowerShell pour examiner toutes les trust properties.
Vous pouvez également voir de nombreuses propriétés fondamentales d'une confiance en exécutant la commande Get-ADTrust –Filter *.
Propriétés de confiance
Le tableau ci-dessous présente les trust properties et une description de chaque propriété.
Propriété de confiance | Description de la propriété |
|---|---|
|
Direction |
Les valeurs valides sont bidirectionnelles, entrantes ou sortantes. Notez que la direction est relative au domaine dans lequel vous exécutez la requête. |
|
DisallowTransivity |
Je pense qu'il s'agit d'une faute de frappe de Microsoft car cela devrait vraiment être « DisallowTransitivity ». Cela peut être défini sur True ou False selon que la confiance interdit ou non la transitivité. |
|
DistinguishedName |
Le DN de l'objet de domaine de confiance. |
|
ForestTransitive |
Cela est défini sur True lorsque la confiance de forêt est transitive et sur False lorsque la confiance de forêt est non transitive. |
|
IntraForest |
Cela est défini sur Vrai lorsqu'une confiance existe entre des domaines dans la même forêt ou défini sur Faux lorsqu'une confiance existe entre des domaines de forêts différentes. |
|
IsTreeParent |
Les valeurs valides sont True et False. |
|
IsTreeRoot |
|
|
Nom |
Le nom du domaine qui fait partie de la confiance, pas le domaine où la requête est exécutée. |
|
ObjectClass |
Ceci est défini sur trustedDomain pour les trusts. |
|
ObjectGUID |
Identifiant unique global pour la confiance. Un exemple est de207451-51ed-44cd-4248-85ad9fcb2d50. |
|
SelectiveAuthentication |
Définissez sur True si la confiance est configurée pour une authentification sélective ou sur False si ce n'est pas le cas. |
|
SIDFilteringForestAware |
Définissez sur Vrai si une confiance de forêt est configurée pour l'authentification sélective |
|
SIDFilteringQuarantined |
Définissez sur Vrai lorsque le filtrage SID avec mise en quarantaine est utilisé pour une confiance. Utilisé uniquement pour les confiances externes. |
|
Source |
Définissez sur le DN de la racine de confiance. Dans une confiance de forêt, le DN du domaine racine de la forêt est la source. |
|
Cible |
Définissez-le sur le nom de domaine de l'autre côté de la confiance. |
|
TGTDelegation |
Définissez sur Vrai si la délégation complète Kerberos est activée sur les approbations de forêt sortantes. La valeur par défaut est Faux. |
|
TrustAttributes |
Définissez une valeur numérique indiquant la configuration de confiance. Par exemple |
|
TrustedPolicy |
Non documenté |
|
TrustingPolicy |
Non documenté |
|
TrustType |
Configurez en Uplevel pour les approbations avec les forêts et domaines Active Directory, en DownLevel pour les approbations avec des domaines antérieurs à Active Directory tels que les domaines NT 4, et en Kerberos realm pour les approbations avec des royaumes Unix/Linux. |
|
UplevelOnly |
Définissez sur Vrai si seuls les systèmes d'exploitation Windows 2000 et ultérieurs peuvent utiliser le lien de confiance. |
|
Utilise des clés AES |
Définissez sur Vrai pour les approbations de domaine qui utilisent des clés de chiffrement AES. |
|
Utilise le chiffrement RC4 |
Définissez sur Vrai pour les approbations de domaine qui utilisent des clés de chiffrement RC4. |
D'un point de vue de l'évolutivité, il y a quelques aspects concernant les trusts dont vous devriez être conscient:
- Nombre maximal de trusts pour l'authentification Kerberos.
Si un client dans un domaine de confiance tente d'accéder à une ressource dans un domaine faisant confiance, le client ne peut pas s'authentifier si le chemin de véracité a plus de 10 liens de confiance. Dans des environnements avec un grand nombre de confiances et des chemins de confiance longs, vous devriez mettre en place des trusts raccourcis pour améliorer la performance et assurer la fonctionnalité d'authentification Kerberos.
- La performance se détériore après 2 400 trusts.
Dans des environnements vraiment grands et complexes, vous pouvez avoir un nombre énorme de trusts. Après avoir atteint 2,400 trusts, tout trust supplémentaire ajouté à votre environnement pourrait avoir un impact significatif sur les performances, en particulier en ce qui concerne l'authentification.
Vous trouverez plus d'informations sur les bases de Active Directory dans notre AD tutorial for begginners.
Partager sur
En savoir plus
À propos de l'auteur
Brian Svidergol
TI
Expert en infrastructure Microsoft et solutions basées sur le cloud autour de Windows, Active Directory, Azure, Microsoft Exchange, System Center, virtualisation et MDOP. En plus de rédiger des livres, Brian écrit du contenu de formation, des livres blancs et est relecteur technique sur un grand nombre de livres et publications.
En savoir plus sur ce sujet
Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée
Exemple d'analyse des risques : Comment évaluer les risques
Le Triangle CIA et son application dans le monde réel
Qu'est-ce que la gestion des documents électroniques ?
Analyse quantitative des risques : Espérance de perte annuelle