Services Active Directory et domaines Windows 2000 ou Windows Server 2003 (1ère partie)

Traductions disponibles Traductions disponibles
Numéro d'article: 310996 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F310996
Agrandir tout | Réduire tout

Sommaire

Résumé

Les informations contenues dans cet article sont partiellement fournies par : Microsoft Press.

Cet article est la première partie d'une série de deux articles expliquant le fonctionnement des services Active Directory et des domaines Windows 2000 ou Windows Server 2003. Pour afficher la deuxième partie, cliquez sur le lien suivant :
310997 Services Active Directory et domaines Windows 2000 ou Windows Server 2003 (2ème partie)
Les rubriques suivantes sont traitées dans la première partie :
  • Hiérarchie du domaine
    • Domaines Windows 2000 et Windows Server 2003
      • Domaines
      • Arborescences
      • Forêts
  • Relations d'approbation
    • Approbations transitives
    • Approbations à sens unique
    • Approbations croisées
Les rubriques suivantes sont traitées dans la deuxième partie :
  • Limites administratives
    • Domaines
    • Unités d'organisation
  • Interaction avec Active Directory
    • Émulation de la hiérarchie du domaine
    • Catalogage du domaine (la partition d'annuaire)
    • Partitionnement de l'annuaire
    • Obtention d'informations sur des objets situés dans un autre domaine
      • Distribution de l'annuaire
      • Réplication de l'annuaire
    • Catalogage de l'entreprise (le catalogue global)
  • Conclusions
Ces informations sont tirées du chapitre 3 du livre en anglais Active Directory Services for Microsoft Windows 2000 Technical Reference (Référence technique des services Active Directory pour Microsoft Windows 2000) : Active Directory Services and Windows 2000 Domains ("Services Active Directory et domaines Windows 2000"). En savoir plus sur Active Directory Services for Microsoft Windows 2000 Technical Reference. Ce livre a été mis à jour avec des informations applicables à Microsoft Windows Server 2003.

Plus d'informations

La structure de domaine Microsoft Windows 2000 ou Windows Server 2003 et les objets associés ont changé considérablement depuis Windows NT 4. Elle joue désormais un rôle central dans le service Active Directory dans Windows 2000 ou Windows Server 2003 et les conditions liées à la conception en font un service d'annuaire évolutif pour les entreprises. Si certains de ces changements sont évidents, tels que le passage à un modèle de relations d'approbation transitives, d'autres sont plus subtils, tels que l'introduction des unités d'organisation. Il est important de présenter tous ces changements pour bien comprendre l'interaction et les dépendances entre les domaines Windows 2000 ou Windows Server 2003 et les services Active Directory. Si vous préférez, Active Directory émule le modèle de domaine Windows 2000 et Windows Server 2003, ou vice versa. Dans les deux cas, les domaines Windows 2000 ou Windows Server 2003 et les services Active Directory dépendent l'un de l'autre et les caractéristiques de l'un affectent la définition de l'autre. Pour comprendre la relation qui existe entre les domaines Windows 2000 ou Windows Server 2003 et les services Active Directory, il est nécessaire de présenter le modèle de domaine Windows 2000 ou Windows Server 2003 et son interaction avec les services Active Directory. Ce chapitre traite tout d'abord du modèle de domaine Windows 2000 et Windows Server 2003, puis examine les différences avec le modèle de domaine Windows NT.

Domaines Windows 2000 et Windows Server 2003

Le modèle de domaine Windows NT 4 n'était pas très évolutif. On pourrait essayer d'embellir la réalité, mais les approbations non transitives à sens unique du modèle de domaine Windows NT 4 impliquaient de lourdes charges administratives dans les implémentations de grandes entreprises. Le modèle de domaine Windows 2000 ou Windows Server 2003 ne présente plus cet inconvénient, grâce en grande partie à une nouvelle approche concernant les approbations, mais aussi à la redéfinition du concept de domaine dans son ensemble, conformément à des normes industrielles, telles que LDAP (Lightweight Directory Access Protocol) et DNS (Domain Name Service).

Hiérarchie du domaine

Dans les réseaux Windows 2000 et Windows Server 2003, les domaines sont organisés selon une hiérarchie. Cette nouvelle approche hiérarchique a donné naissance aux concepts de forêt et d'arborescence. Ceux-ci, combinés au concept des domaines, permettent aux organisations de gérer efficacement la structure de réseau Windows 2000 et Windows Server 2003.
Domaines
L'essence du modèle de domaine Windows 2000 et Windows Server 2003 n'a pas changé ; il s'agit toujours du domaine. Un domaine est une limite administrative qui, dans Windows 2000 et Windows Server 2003, représente un espace de noms correspondant à un domaine DNS (les espaces de noms sont traités dans le chapitre 4). Pour plus d'informations sur l'interaction des services Active Directory et du système DNS, reportez-vous au chapitre 6 : "Active Directory Services and DNS" (Services Active Directory et système DNS).

Le premier domaine créé dans un déploiement Windows 2000 ou Windows Server 2003 s'appelle le domaine racine. Comme son nom l'indique, il constitue la racine de tous les autres domaines créés dans l'arborescence du domaine (les arborescences de domaine sont décrites dans la section suivante). Les structures de domaine Windows 2000 et Windows Server 2003 étant associées à des hiérarchies de domaine DNS, la structure des domaines Windows 2000 et Windows Server 2003 est semblable à celle des hiérarchies de domaine DNS. Les domaines racine sont des domaines, tels que microsoft.com ou iseminger.com ; ils constituent les racines de leurs hiérarchies DNS et les racines de la structure de domaine Windows 2000 et Windows Server 2003.

Les domaines créés par la suite dans une hiérarchie de domaine Windows 2000 et Windows Server 2003 donnée deviennent les domaines enfants du domaine racine. Par exemple, si msdn est un domaine enfant de microsoft.com, le domaine msdn devient msdn.microsoft.com.

Comme vous pouvez le constater, Windows 2000 et Windows Server 2003 requièrent soit un domaine racine, soit un domaine enfant dans une hiérarchie de domaine. Les noms de domaine doivent être uniques au sein d'un même domaine parent sous Windows 2000 et Windows Server 2003 ; par exemple, deux domaines ne peuvent pas s'appeler msdn et être des domaines enfants directs du domaine racine microsoft.com. Vous pouvez toutefois avoir deux domaines qui s'appellent msdn dans la hiérarchie de domaine globale. Par exemple, deux domaines peuvent s'appeler msdn.microsoft.com et msdn.devprods.microsoft.com ; l'espace de noms microsoft.com possède un seul domaine enfant appelé msdn et l'espace de noms devprods.microsoft.com possède également un seul domaine enfant appelé msdn.

On appelle ce concept le "partitionnement logique". La plupart des grandes organisations qui nécessitent plus d'un domaine Windows 2000 ou Windows Server 2003 sont organisées selon une structure logique qui divise les responsabilités ou les tâches. Le fait de diviser une organisation en plusieurs unités (parfois appelées "divisions" dans le jargon d'entreprise) permet d'en simplifier la gestion . L'organisation est en effet partitionnée selon une structure plus logique, qui permet éventuellement de répartir le travail entre différentes sections. Ou, si vous préférez, lorsque des unités commerciales logiques (divisions) sont rassemblées sous l'égide d'une entité plus importante (une entreprise par exemple), ces divisions créent une entité plus importante. Bien que les tâches entre divisions puissent être très différentes, les divisions forment ensemble une entité plus grande et complète. Ce concept s'applique également à l'ensemble des domaines Windows 2000 et Windows Server 2003 qui forment une entité d'espace de noms plus grande et contiguë, appelée "arborescence".
Arborescences
Les arborescences, parfois appelées arborescences de domaine, sont des ensembles de domaines Windows 2000 et Windows Server 2003 qui forment un espace de noms contigu. Une arborescence de domaine est formée dès qu'un domaine enfant est créé et associé à un domaine racine donné. Sur le plan technique, une arborescence est une hiérarchie de nommage DNS contiguë ; sur le plan conceptuel, une arborescence de domaine ressemble à un arbre à l'envers : le domaine racine en haut, et les branches (les domaines enfants) en bas.

Une arborescence de domaine permet aux organisations de créer une structure logique de domaines qui respecte et reflète l'espace de noms DNS. Par exemple, l'organisation David Iseminger et Cie peut avoir un domaine DNS intitulé micromingers.iseminger.com et plusieurs divisions logiques au sein de celui-ci, comme les ventes, la comptabilité, la production, etc. Dans ce cas, l'arborescence de domaine peut ressembler à celle illustrée dans la figure 3-1.

Réduire cette imageAgrandir cette image
 Illustration de l'arborescence de domaine pour micromingers.iseminger.com

Figure 3-1. Arborescence de domaine pour micromingers.iseminger.com.

REMARQUE : vous avez sans doute remarqué que l'exemple de domaine iseminger.com est amplement utilisé dans ce document. Il ne s'agit pas d'un péché d'orgueil de la part de l'auteur, mais plutôt d'une considération légale sur laquelle l'éditeur insiste : "Pas de domaine potentiellement litigieux, uniquement des domaines appartenant à l'auteur ou alors, des domaines vraiment nuls." L'auteur entretenant des relations avec www.iseminger.com, le nom de domaine est utilisé partout dans ce livre. J'avais des noms plus inventifs, mais il faut faire plaisir aux avocats.

Si cette répartition en divisions logiques fonctionne bien pour les organisations qui possèdent un seul domaine DNS, de nombreuses organisations sont divisées en entités indépendantes. L'emploi de forêts Windows 2000 et Windows Server 2003 permet alors de faire face à cette situation.
Forêts
Certaines organisations peuvent avoir plusieurs domaines racines, par exemple iseminger.com et microsoft.com. Toutefois, l'organisation en elle-même est une entité indépendante (comme l'organisation fictive David Iseminger et Cie dans cet exemple). Dans de tels cas, les différentes arborescences de domaine forment un espace de noms non contigu appelé "forêt". Une forêt est constituée d'une ou plusieurs hiérarchies d'arborescence de domaine contiguës qui forment une organisation donnée. Par conséquent, une organisation qui ne possède qu'un seul domaine dans son arborescence de domaine est aussi considérée comme une forêt. Cette distinction prend plus d'importance plus loin dans ce chapitre lorsque nous traitons de l'interaction d'Active Directory avec les domaines et les forêts Windows 2000 ou Windows Server 2003.

Le modèle de forêt permet aux organisations qui ne forment pas un espace de noms contigu de préserver la continuité de la structure de leur domaine agrégé dans toute l'organisation. Par exemple, si l'organisation David Iseminger et Cie, iseminger.com, pouvait dénicher suffisamment d'argent pour acheter une entreprise appelée Microsoft, qui possède déjà sa propre structure de répertoire, les structures de domaine des deux entités pourraient être combinées dans une forêt. Le fait d'avoir une seule forêt présente les avantages suivants : tout d'abord, les relations d'approbation peuvent être gérées plus facilement (ce qui permet aux utilisateurs d'une arborescence de domaine d'accéder aux ressources dans l'autre arborescence) ; ensuite, le catalogue global incorpore les informations des objets pour la forêt tout entière, ce qui permet d'effectuer des recherches dans toute l'organisation ; finalement, le schéma Active Directory s'applique à toute la forêt (reportez-vous au chapitre 10 pour des informations techniques sur le schéma). La figure 3-2 illustre la combinaison des structures de domaine iseminger.com et Microsoft, avec une ligne entre leurs domaines racines indiquant l'approbation Kerberos qui existe entre eux et qui établit la forêt (le protocole Kerberos est décrit plus en détail dans le chapitre 8).

Même si une forêt peut comprendre plusieurs arborescences de domaine, elle représente une seule entreprise. La création de la forêt permet aux domaines membres de partager des informations (via le catalogue global). Vous pouvez vous demander comment les arborescences de domaine dans une forêt établissent des relations qui permettent à toute l'entreprise (représentée par la forêt) de fonctionner en tant qu'unité. Bonne question ; pour y répondre, examinons le rôle des relations d'approbation.

Relations d'approbation

Parmi les différences entre les domaines Windows NT 4 et les domaines Windows 2000 ou Windows Server 2003, les plus notables sont peut-être l'application et la configuration des relations d'approbation entre les domaines de la même organisation. Au lieu d'établir une maille de relations à sens uniques (comme dans Windows NT 4), Windows 2000 et Windows Server 2003 implémentent des relations transitives qui circulent dans la (nouvelle) structure d'arborescence de domaine dans les deux sens. Ce modèle simplifie l'administration d'un réseau Windows, comme le démontre l'exemple numérique suivant. Les deux équations suivantes (ne vous inquiétez pas, celles-ci sont fournies uniquement à titre d'exemple ; vous n'aurez pas à les mémoriser) illustrent la charge en termes de gestion générée par chaque approche ; les équations représentent le nombre de relations d'approbation requises par chaque approche de relation d'approbation, où n représente le nombre de domaines :
Domaines Windows NT 4 : (n * (n-1))
Domaines Windows 2000 ou Windows Server 2003--(n-1)
Prenons l'exemple d'un réseau avec plusieurs domaines et comparons les deux approches de modèle de domaine (avec, par exemple, cinq domaines dans chaque cas, soit n = 5 dans les formules suivantes).
Domaines Windows NT 4 : (5 * (5-1)) = 20 relations d'approbation
Domaines Windows 2000 ou Windows Server 2003 : (5 - 1) = 4 relations d'approbation
Réduire cette imageAgrandir cette image
Illustration de la combinaison des arborescences de domaine pour Iseminger.com et Microsoft

Figure 3-2. Combinaison des arborescences de domaine pour Iseminger.com et Microsoft.

La différence est flagrante si l'on retient le nombre de relations d'approbation qui doivent être gérées, mais celle-ci ne constitue pas l'avantage majeur de la nouvelle approche en matière de domaine. Avec les domaines Windows 2000 et Windows Server 2003, les approbations sont créées et implémentées par défaut. Si l'administrateur se contente d'installer les contrôleurs de domaine, les approbations sont déjà en place. La création automatique des relations d'approbation est liée au fait que les domaines Windows 2000 et Windows Server 2003 (contrairement aux domaines Windows NT 4) sont créés hiérarchiquement ; ou, si vous préférez, une arborescence de domaine donnée comporte un domaine racine et des domaines enfants, et c'est tout. Cela permet à Windows 2000 et Windows Server 2003 de savoir automatiquement quels sont les domaines qui sont inclus dans une arborescence de domaine donnée et à quel moment les relations d'approbation sont établies entre les domaines racines, et de savoir automatiquement quelles arborescences de domaine sont incluses dans la forêt.

Dans Windows NT, les administrateurs devaient créer (et donc gérer) des relations d'approbation entre les domaines et se souvenir de la direction du flux des relations d'approbation (et aussi tenir compte des conséquences sur les droits des utilisateurs dans chaque domaine). La différence est considérable : la charge en termes de gestion est réduite et l'implémentation de telles approbations est plus intuitive ; cela grâce au nouveau modèle d'approbation et à l'approche hiérarchique des domaines et des arborescences de domaine.

Il existe trois types de relations d'approbation dans Windows 2000 et Windows Server 2003, chacune d'entre elles répondant à un besoin particulier au sein de la structure de domaine. Les relations d'approbation suivantes sont disponibles dans les domaines Windows 2000 et Windows Server 2003 :
  • approbations transitives ;
  • approbations à sens unique ;
  • approbations croisées.
Approbations transitives
Les approbations transitives établissent une relation d'approbation entre deux domaines qui peut circuler vers d'autres domaines. Par exemple, si le domaine A approuve le domaine B et que le domaine B approuve le domaine C, le domaine A approuve alors le domaine C et vice versa, comme l'illustre la figure 3-3.

Réduire cette imageAgrandir cette image
 Illustration d'une approbation transitive entre trois domaines

Figure 3-3. Approbation transitive entre trois domaines.

Les approbations transitives réduisent considérablement la charge administrative associée à la maintenance des relations d'approbation entre les domaines car il n'est plus nécessaire de gérer une maille d'approbations non transitives à sens unique. Dans Windows 2000 et Windows Server 2003, les relations d'approbation transitives entre domaines parents et enfants sont automatiquement établies lors de la création de nouveaux domaines dans l'arborescence de domaine. Les approbations transitives sont limitées aux domaines Windows 2000 ou Windows Server 2003 et aux domaines dans la même arborescence de domaine ou forêt ; vous ne pouvez pas créer de relation d'approbation transitive avec des domaines de bas niveau (Windows NT 4 et versions antérieures), ni d'approbation transitive entre deux domaines Windows 2000 ou Windows Server 2003 qui résident dans des forêts différentes.
Approbations à sens unique
Les approbations à sens unique ne sont pas transitives, elles définissent une relation d'approbation uniquement entre les domaines concernés, et elles ne sont pas à double sens. Vous pouvez toutefois créer deux relations d'approbation à sens unique (une dans chaque direction) pour créer une relation d'approbation à double sens, comme vous le feriez dans un environnement strictement Windows NT 4. Notez, toutefois, que des approbations à sens uniques réciproques ne constituent pas une relation transitive, puisque la relation d'approbation dans les approbations à sens unique est uniquement valide entre les deux domaines impliqués. Les approbations à sens unique dans Windows 2000 et Windows Server 2003 sont identiques à celles de Windows NT 4 et peuvent être utiles dans Windows 2000 ou Windows Server 2003 dans de nombreux cas de figure. Pour illustrer ce propos, examinons les situations suivantes :

Tout d'abord, les approbations à sens unique sont souvent utilisées lorsque de nouvelles relations d'approbation doivent être établies avec des domaines de bas niveau, tels que des domaines Windows NT 4. Étant donné que les domaines de bas niveau ne peuvent pas faire partie d'environnements d'approbations transitives Windows 2000 et Windows Server 2003 (tels que des arborescences ou des forêts), des approbations à sens unique doivent être établies pour permettre de créer des relations d'approbation entre un domaine Windows 2000 ou Windows Server 2003 et un domaine Windows NT de bas niveau.

REMARQUE : cette situation avec des approbations à sens unique ne s'applique pas au processus de migration (par exemple, une mise à niveau d'un modèle de domaine Windows NT 4 vers le modèle de domaine/arborescence/forêt Windows 2000 ou Windows Server 2003). Tout au long de la migration de Windows NT 4 vers Windows 2000 ou Windows Server 2003, les relations d'approbation que vous avez établies sont honorées au fur et à mesure de l'avancée du processus de migration, jusqu'à la migration de tous les domaines vers Windows 2000 ou Windows Server 2003 et l'établissement de l'environnement d'approbations transitives. Le processus de migration est décrit plus en détail dans le chapitre 11, "Migrating to Active Directory Services" (Migration vers les services Active Directory).

Ensuite, les approbations à sens unique peuvent être utilisées si une relation d'approbation doit être établie entre des domaines qui ne se trouvent pas dans la même forêt Windows 2000 ou Windows Server 2003. Vous pouvez utiliser des relations d'approbation à sens unique entre domaines dans des forêts Windows 2000 ou Windows Server 2003 différentes pour isoler la relation d'approbation au domaine avec lequel la relation est créée et maintenue, au lieu de créer une relation d'approbation qui affecte la forêt tout entière. Prenons un exemple pour illustrer ce propos.

Imaginons que votre organisation possède une division Production et une division Ventes. D'une part, la division Production souhaite partager des informations relatives à ses processus (stockées sur des serveurs qui résident sur son domaine Windows 2000 ou Windows Server 2003) avec un organisme de normalisation. D'autre part, la division Ventes ne souhaite pas que l'organisme de normalisation puisse accéder aux informations sensibles relatives aux ventes et au marketing qui sont stockées sur des serveurs dans son domaine (peut-être craignent-ils que l'organisme de normalisation ne crie au monopole). L'utilisation d'une approbation à sens unique permet de préserver la confidentialité des informations relatives aux ventes. Pour fournir à l'organisme de normalisation l'accès approprié, établissez une relation à sens unique entre le domaine Production et le domaine de l'organisme de normalisation. Étant donné que les approbations à sens uniques ne sont pas transitives, la relation d'approbation est uniquement établie entre les deux domaines impliqués. Par ailleurs, compte tenu du fait que le domaine Production est le domaine approbateur, les utilisateurs du domaine Production ne pourront pas accéder aux ressources se trouvant dans le domaine de l'organisme de normalisation.

Bien sûr, dans chacun des scénarios d'approbations à sens unique décrit ici, vous pouvez aussi créer une relation à double sens à partir de deux relations d'approbation à sens unique distinctes.
Approbations croisées
Les approbations croisées permettent d'améliorer les performances. Avec des approbations croisées, un pont virtuel de vérification d'approbations est créé dans la hiérarchie de l'arborescence ou de la forêt, ce qui permet aux relations d'approbation d'être confirmées (ou refusées) plus rapidement. Pour plus de détails et savoir comment et pourquoi les approbations croisées sont utilisées, vous devez tout d'abord comprendre la manière dont les authentifications entre domaines sont gérées dans Windows 2000 et Windows Server 2003.

Lorsqu'un domaine Windows 2000 ou Windows Server 2003 doit authentifier un utilisateur (ou vérifier une demande d'authentification) pour une ressource qui ne réside pas dans son propre domaine, il procède comme pour une requête DNS. Windows 2000 et Windows Server 2003 déterminent tout d'abord si la ressource se situe dans le domaine dans lequel la requête est effectuée. Si la ressource ne se situe pas dans le domaine local, le contrôleur de domaine, (plus précisément, le service de distribution des clés [KDC, Key Distribution Service] sur le contrôleur de domaine) passe au client une référence pour un contrôleur de domaine dans le domaine suivant dans la hiérarchie (vers le haut ou vers le bas, selon le cas). Le contrôleur de domaine suivant poursuit cette vérification des "ressources locales" jusqu'à ce que le domaine dans lequel réside la ressource soit atteint (ce processus de référence est décrit plus en détail dans le chapitre 8).

Bien que cette procédure "de parcours de l'arborescence du domaine" fonctionne correctement, ce parcours virtuel de la hiérarchie du domaine prend du temps, ce qui affecte les performances des réponses des requêtes. Pour clarifier tout cela, prenons un exemple :

Vous vous trouvez dans un aéroport avec deux terminaux qui forment la lettre V. Le terminal A se situe dans la partie gauche du V et le terminal B dans la partie droite. Les portes sont numérotées séquentiellement, de sorte que les portes 1 du terminal A et du terminal B se trouvent à la base du V (où les deux terminaux sont reliés) et les deux portes 15 aux deux extrémités du V. Toutes les portes s'ouvrent à l'intérieur du V. Vous arrivez à l'aéroport à toute allure pour prendre votre avion. Vous arrivez à la porte 15 du terminal A (à l'extrémité du V), mais vous réalisez que le vol part en fait du terminal B. Vous regardez par la fenêtre et apercevez votre avion stationné à la porte 15 du terminal B. Pour vous rendre à cette porte, vous devez retourner à la base du V, puis remonter tout en haut du terminal B jusqu'à la porte 15. Lorsque vous arrivez, l'avion est déjà parti. Il vous reste à patienter deux heures dans la salle d'attente jusqu'au départ du prochain vol. Vous contemplez le V jusqu'au terminal A où vous vous trouviez précédemment, quand une idée de génie vous vient à l'esprit : pourquoi ne pas construire un pont reliant les deux extrémités du terminal pour permettre aux passagers de se rendre directement de la porte 15 du terminal A à la porte 15 du terminal B ? Logique, n'est-ce pas ? Oui, à condition toutefois que le trafic entre les portes 15 des deux terminaux soit suffisamment important.

De manière similaire, les approbations croisées peuvent, d'une part, servir de pont d'authentification entre deux domaines qui sont logiquement distants l'un de l'autre dans une forêt ou une hiérarchie d'arborescence et, d'autre part, traiter un trafic d'authentification considérable. À quoi le volume du trafic d'authentification peut-il être attribué ? Considérez deux branches d'une arborescence de domaine Windows 2000 ou Windows Server 2003. La première branche se compose des domaines A, B, C et D. A est le parent de B, B le parent de C et C le parent de D. La seconde branche se compose des domaines A, M, N et P. A est le parent de M, M est le parent de N et N est le parent de P. Si tout cela vous semble un peu tortueux, reportez-vous à la figure 3-4 qui illustre cette structure.

Réduire cette imageAgrandir cette image
 Illustration d'un exemple de hiérarchie de domaine

Figure 3-4. Exemple de hiérarchie de domaine

Imaginons que des utilisateurs dans le domaine D utilisent régulièrement des ressources qui, pour une raison quelconque, résident dans le domaine P. Lorsqu'un utilisateur dans le domaine D souhaite utiliser des ressources dans le domaine P, Windows 2000 et Windows Server 2003 résolvent la requête en parcourant un chemin de référence qui revient à la racine de l'arborescence (le domaine A dans ce cas), puis redescend la branche appropriée de l'arborescence de domaine jusqu'au domaine P. Si ces authentifications sont continues, cette approche crée un volume de trafic considérable. Une meilleure approche consiste à créer une approbation croisée entre les domaines D et P, ce qui permet aux authentifications entre les domaines d'avoir lieu sans reparcourir l'arborescence jusqu'à la racine (ou le domaine de base au niveau duquel les branches de l'arborescence se séparent). Il en résulte de meilleures performances en termes d'authentification.

Références

Les informations de cet article sont tirées du livre en anglais Active Directory Services for Microsoft Windows 2000 Technical Reference (Référence technique des services Active Directory pour Microsoft Windows 2000), publié par Microsoft Press.

Réduire cette imageAgrandir cette image
 Illustration du livre Active Directory Services for Microsoft Windows 2000 Technical Reference


En savoir plus sur le livre Active Directory Services for Microsoft Windows 2000 Technical Reference.

Pour plus d'informations sur cette publication et sur d'autres ouvrages de Microsoft Press, reportez-vous au site Web Microsoft à l'adresse suivante :http://www.microsoft.com/France/mspress/default.asp.

Propriétés

Numéro d'article: 310996 - Dernière mise à jour: lundi 16 février 2004 - Version: 5.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Professionnel
Mots-clés : 
kbinfo KB310996
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com