• Créer des relations d'approbations de forêts
• Réinitialiser un compte d'ordinateur

Dans une infrastructure Active Directory, vous pouvez créer des relations d'approbations externes (approbations de domaines), ainsi que des relations d'approbations de forêts.

Néanmoins, avant de créer des relations d'approbation, il est primordial de comprendre comment celles-ci fonctionnent et ce qu'elles engendrent.
Pour cela, référez-vous à notre article : Les bases des services de domaine Active Directory (AD DS)

Dans ce tutoriel, nous allons créer une relation d'approbation externe entre 2 domaines présents dans 2 forêts différentes.
Dans notre cas, nous allons créer une relation d'approbation externe entre nos domaines Active Directory "web.informatiweb.lan" et "corp.informatiweb-pro.lan".

Pour créer une relation d'approbation externe entre 2 domaines, ouvrez la console "Domaines et approbations Active Directory" et faites un clic droit "Propriétés" sur le domaine source (dans notre cas : web.informatiweb.lan).

Ensuite, allez dans l'onglet "Approbations" et cliquez sur le bouton "Nouvelle approbation".

L'assistant Nouvelle approbation apparait.

Indiquez le nom de domaine de destination avec lequel vous voulez créer la relation d'approbation externe (approbation de domaines).
Dans notre cas : corp.informatiweb-pro.lan

Choisissez le sens de cette approbation :

• Bidirectionnel : les utilisateurs du domaine source pourront être authentifiés dans le domaine de destination (et inversement)
• Sens unique - en entrée : les utilisateurs du domaine source (dans notre cas : web.informatiweb.lan) pourront être authentifiés dans le domaine de destination (dans notre cas : corp.informatiweb-pro.lan)
• Sens unique - en sortie : les utilisateurs du domaine de destination (dans notre cas : corp.informatiweb-pro.lan) pourront être authentifiés dans le domaine source (dans notre cas : web.informatiweb.lan)

Pour qu'une relation d'approbation soit valide, il faut que l'objet d'approbation que vous êtes en train de créer soit présent des 2 côtés (donc dans le domaine source et celui de destination).

L'assistant vous demande donc si vous voulez créer cette approbation dans :

• Ce domaine uniquement : le domaine source. Dans notre cas : web.informatiweb.lan
• Ce domaine et le domaine spécifié : le domaine source (web.informatiweb.lan) et le domaine de destination (corp.informatiweb-pro.lan)

Si vous connaissez les identifiants d'un compte autorisé à créer des relations d'approbation dans le domaine spécifié (domaine de destination : corp.informatiweb-pro.lan), alors sélectionnez "Ce domaine et le domaine spécifié".

Comme nous avons choisi de créer l'approbation dans le domaine source ET dans le domaine spécifié (domaine de destination), l'assistant nous demande les identifiants d'un compte disposant de privilèges d'administration dans le domaine spécifié.

Lorsque vous créez une relation d'approbation, l'assistant vous propose de choisir entre :

• Authentification pour toutes les ressources du domaine : autoriser l'accès à toutes les ressources du domaine local (domaine source) depuis le domaine spécifié (domaine de destination)
• Authentification sélective : limiter l'accès aux ressources de votre domaine local (domaine source)

Un résumé de la configuration de la relation d'approbation apparait avant sa création.
Comme le nom de domaine local et le domaine spécifié ne sont pas des domaines racines, l'assistant à détecter automatiquement qu'il s'agissait d'une relation d'approbation de type externe (comme indiqué dans le résumé affiché).

Pour créer cette relation d'approbation, cliquez sur "Suivant".

Maintenant, la relation d'approbation a été créée.

Pour que cette relation d'approbation puisse être utilisée, il faut que l'approbation entrante et/ou sortante (en fonction du choix effectué au début de l'assistant) soit confirmée.
Comme nous avons créé une relation d'approbation bidirectionnelle (dans les 2 sens), nous devons confirmer l'approbation sortante, puis l'approbation entrante.

Sélectionnez : Oui, confirmer l'approbation sortante.

Puis : Oui, confirmer l'approbation entrante.

Votre relation d'approbation a été créée et confirmée.
Cliquez sur Terminer.

Lorsque vous créez une relation d'approbation externe, le filtrage des SID (identificateur de sécurité) est automatiquement activé par mesure de sécurité.

Le filtrage des SID empêche les utilisateurs malveillants disposant de droits administrateur sur le domaine ou une forêt de s'octroyer des droits élevés dans la forêt distante via la relation d'approbation créée.
Cela évite aussi les attaques qui utilisent l'historique des SID qui est utilisé à la base pour simplifier la migration de nombreux utilisateurs sans devoir mettre à jour les droits sur les différentes ressources d'un serveur.

Pour en savoir plus sur ce filtrage de SID, référez-vous à ces pages officielles de Microsoft :
- Configuring SID Filtering Settings
- SID Filtering

Dans l'onglet "Approbations" des propriétés du domaine source (dans notre cas : web.informatiweb.lan), vous trouverez 2 nouvelles relations d'approbation de type "Externe" et non transitive.
Ce qui signifie que la relation n'est valable qu'entre les 2 domaines concernés et que l'on ne peut pas aller plus loin que ces 2 domaines en utilisant cette relation d'approbation.

Si vous affichez les propriétés des relations d'approbations que vous venez de créer, vous trouverez :

• le domaine local (source) : web.informatiweb.lan
• le domaine spécifié précédemment (destination) : corp.informatiweb-pro.lan
• le type d'approbation : Externe = approbation de domaines
• une case indiquant si le domaine prend en charge le chiffrement AES via Kerberos
• la direction de l'approbation : Bidirectionnelle
• si l'approbation est transitive ou non
• un bouton pour valider cette relation d'approbation (si celle-ci n'a pas déjà été validée)

Dans l'onglet "Authentification", vous pourrez choisir si vous souhaitez limiter au non l'accès aux ressources du domaine local (web.informatiweb.lan).