Une forêt AD DS est une collection d’une ou plusieurs arborescences AD DS qui contiennent un ou plusieurs domaines AD DS. Domaines dans un partage de forêt :
- Une racine commune.
- Un schéma commun.
- Un catalogue global.
Un domaine AD DS est un conteneur d’administration logique pour les objets tels que :
- Utilisateurs
- Groupes
- Ordinateurs
Qu’est-ce qu’une forêt AD DS ?
Une forêt est un conteneur de niveau supérieur dans AD DS. Chaque forêt est un regroupement d’une ou plusieurs arborescences de domaines qui partagent un schéma de répertoire commun et un catalogue global. Une arborescence de domaine est un regroupement d’un ou plusieurs domaines qui partagent un espace de noms contigu. Le domaine racine de la forêt est le premier domaine que vous créez dans la forêt.
Le domaine racine de la forêt contient des objets qui n’existent pas dans d’autres domaines de la forêt. Étant donné que vous créez toujours ces objets sur le premier contrôleur de domaine, une forêt peut être composée d’un seul domaine avec un seul contrôleur de domaine, ou elle peut être constituée de plusieurs domaines sur plusieurs arborescences de domaines.
Le graphique suivant affiche Contoso.com comme domaine racine de la forêt. En dessous se trouvent deux domaines, Adatum.com dans une arborescence distincte et Seattle.Contoso.com en tant qu’enfant de Contoso.com.
Les objets suivants existent dans le domaine racine de la forêt :
- Le rôle de contrôleur de schéma.
- Le rôle de maître d’attribution des noms de domaine.
- Le groupe Administrateurs de l’entreprise.
- Le groupe Administrateurs du schéma.
Notes
Bien que les rôles de maître d’attribution de noms de schéma et de domaine soient attribués initialement dans le domaine racine sur le premier contrôleur de domaine que vous créez, vous pouvez les déplacer vers d’autres contrôleurs de domaine n’importe où dans la forêt.
Une forêt AD DS est souvent décrite comme suit :
- Une limite de sécurité. Par défaut, aucun utilisateur en dehors de la forêt ne peut accéder aux ressources de la forêt. En outre, tous les domaines d’une forêt approuvent automatiquement les autres domaines de la forêt. Cela permet d’activer facilement l’accès aux ressources pour tous les utilisateurs d’une forêt, quel que soit le domaine auquel ils appartiennent.
- Une limite de réplication. Une forêt AD DS est la limite de réplication pour les partitions de schéma et de configuration dans la base de données AD DS. Par conséquent, les organisations qui souhaitent déployer des applications avec des schémas incompatibles doivent déployer des forêts supplémentaires. La forêt est également la limite de réplication pour le catalogue global. Le catalogue global permet de trouver des objets de n’importe quel domaine de la forêt.
Conseil
En règle générale, une organisation ne crée qu’une seule forêt.
Les objets suivants existent dans chaque domaine (y compris la racine de la forêt) :
- Le rôle de maître RID.
- Le rôle de maître d’infrastructure.
- Le rôle de maître d’émulateur PDC.
- Le groupe Admins du domaine.
Qu’est-ce qu’un domaine AD DS ?
Un domaine AD DS est un conteneur logique pour la gestion de l’utilisateur, de l’ordinateur, du groupe et d’autres objets. La base de données AD DS stocke tous les objets de domaine, et chaque contrôleur de domaine stocke une copie de la base de données.
Le graphique suivant affiche un domaine AD DS. Il contient les utilisateurs, les ordinateurs et les groupes.
Les objets les plus couramment utilisés sont décrits dans le tableau suivant :
| Object | Description |
| Comptes d’utilisateurs | Les comptes d’utilisateur contiennent des informations sur les utilisateurs, notamment les informations requises pour authentifier un utilisateur pendant le processus de connexion et générer le jeton d’accès de l’utilisateur. |
| Comptes d’ordinateur | Chaque ordinateur joint à un domaine possède un compte dans AD DS. Vous pouvez utiliser des comptes d’ordinateur pour les ordinateurs joints à un domaine de la même façon que vous utilisez des comptes d’utilisateur pour les utilisateurs. |
| Groupes | Les groupes organisent les utilisateurs ou les ordinateurs pour simplifier la gestion des autorisations et des objets de stratégie de groupe dans le domaine. |
Notes
AD DS permet à un domaine unique de contenir près de 2 milliards d’objets. Cela signifie que la plupart des organisations ont uniquement besoin de déployer un seul domaine.
Un domaine AD DS est souvent décrit comme suit :
- Une limite de réplication. Lorsque vous apportez des modifications à un objet du domaine, le contrôleur de domaine où la modification s’est produite réplique cette modification sur tous les autres contrôleurs de domaine du domaine. S’il existe plusieurs domaines dans la forêt, seuls les sous-ensembles de ces modifications sont répliqués vers d’autres domaines. AD DS utilise un modèle de réplication multimaître qui permet à chaque contrôleur de domaine d’apporter des modifications aux objets du domaine.
- Une unité administrative. Le domaine AD DS contient un compte Administrateur et un groupe Admins du domaine. Par défaut, le compte administrateur est membre du groupe Admins du domaine et le groupe Admins du domaine est membre de chaque groupe Administrateurs local d’ordinateurs joints à un domaine. Par ailleurs, par défaut, les membres du groupe Admins du domaine ont un contrôle total sur chaque objet du domaine.
Notes
Le compte Administrateur du domaine racine de la forêt dispose de droits supplémentaires.
Un domaine AD DS fournit les éléments suivants :
- Authentification. Chaque fois qu’un ordinateur joint à un domaine démarre ou qu’un utilisateur se connecte à un ordinateur appartenant à un domaine, AD DS l’authentifie. L’authentification vérifie que l’identité de l’ordinateur ou de l’utilisateur est correcte dans AD DS en vérifiant ses informations d’identification.
- Autorisation. Windows utilise les technologies d’autorisation et de contrôle d’accès pour déterminer s’il faut autoriser les utilisateurs authentifiés à accéder aux ressources.
Conseil
Les organisations dotées de structures administratives décentralisées ou de plusieurs emplacements peuvent envisager d’implémenter plusieurs domaines dans la même forêt pour répondre à leurs besoins administratifs.
Que sont les relations d’approbation ?
Les approbations AD DS permettent l’accès aux ressources dans un environnement AD DS complexe. Lorsque vous déployez un domaine unique, vous pouvez facilement accorder l’accès aux ressources au sein du domaine aux utilisateurs et aux groupes à partir du domaine. Lorsque vous implémentez plusieurs domaines ou forêts, vous devez vous assurer que les approbations appropriées sont en place pour permettre le même accès aux ressources.
Dans une forêt AD DS à plusieurs domaines, les relations d’approbation transitive bidirectionnelle se génèrent automatiquement entre les domaines AD DS, de manière à ce qu’il existe un chemin d’approbation entre tous les domaines AD DS.
Notes
Les approbations créées automatiquement dans la forêt sont toutes des approbations transitives, ce qui signifie que si le domaine A approuve le domaine B et que le domaine B approuve le domaine C, le domaine A approuve le domaine C.
Vous pouvez déployer d’autres types d’approbations. Le tableau ci-après décrit les principaux types d’approbations.
| Type d’approbation | Description | Sens | Description |
| Parent et enfant | Transitive | bidirectionnelle | Lorsque vous ajoutez un nouveau domaine AD DS à une arborescence AD DS existante, vous créez des approbations parent et enfant. |
| Arborescence/Racine | Transitive | bidirectionnelle | Lorsque vous créez une arborescence AD DS dans une forêt AD DS existante, vous créez automatiquement une nouvelle approbation arborescence/racine. |
| Externe | Non transitive | Sens unique ou bidirectionnelle | Les approbations externes permettent l’accès aux ressources avec un domaine Windows NT 4.0 ou un domaine AD DS dans une autre forêt. Vous pouvez également les configurer pour fournir une infrastructure pour une migration. |
| Realm | Transitive ou non transitive | Sens unique ou bidirectionnelle | Les approbations de domaine établissent un chemin d’authentification entre un domaine Windows Server AD DS et un domaine de protocole Kerberos version 5 (v5) qui implémente à l’aide d’un service d’annuaire autre que AD DS. |
| Forêt (complète ou sélective) | Transitive | Sens unique ou bidirectionnelle | Les approbations entre forêts AD DS permettent à deux forêts de partager des ressources. |
| Raccourci | Non transitive | Sens unique ou bidirectionnelle | Configurez des raccourcis d’approbations pour réduire le temps nécessaire à l’authentification entre des domaines AD DS qui se trouvent dans différentes parties d’une forêt AD DS. Par défaut, il n’existe pas de raccourcis d’approbations, un administrateur doit les créer si nécessaire. |
Quand vous configurez des approbations entre des domaines dans la même forêt, entre des forêts ou pour un domaine externe, Windows Server crée un objet de domaine approuvé pour stocker les informations de l’approbation, telles que la transitivité et le type, dans AD DS. Windows Server stocke cet objet de domaine approuvé dans le conteneur Système de AD DS.