locked
Approbation et authenfication sélective RRS feed

  • Question

  • Bonjour,

    Nous venons de mettre en place une relation d'approbation bidirectionnelle avec authentification sélective entre deux fôrets mono domaine distinctes sur notre réseau.

    Le but est de pouvoir gérer au cas par cas l'accès à une ressource du partenaire.

    Je n'arrive cependant pas à créer sur le domaine A un groupe de sécurité comportant des utilisateurs du domaine A et du domaine B. En effet impossible d'afficher depuis la console utilisateurs et ordinateurs AD du domaine A l'emplacement domaine B (et inversement).

    Quelqu'un peut il m'aider ?

    Merci





    • Modifié Yuma23 mardi 26 janvier 2016 17:10
    mardi 26 janvier 2016 16:48

Réponses

  • Oui,

    c'est bien sur possible.

    sur technet : https://technet.microsoft.com/fr-fr/library/cc772808%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    dans la partie Méthodes conseillées relatives à l'utilisation de groupes de sécurité sur plusieurs forêts vous trouverez votre cas expliqué en détail.

    Cordialement


    S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution. Mon blog : http://Les2t.fr

    • Marqué comme réponse Emile Supiot jeudi 28 janvier 2016 15:30
    mercredi 27 janvier 2016 08:14
  • Effectivement le groupe global peut être membre de groupes d'autres domaines par contre il ne peut contenir des membres que de son domaine.

    Si vous voulez donner un accés à une ressource de votre domaine créer un groupe local et vous pourrez ajouter des groupes globaux contenant les utilisateurs venant de domaine approuvé.

    En générale du côté des ressources on utilise des groupe de domaine local, côté utilisateur des groupes globaux.

    mercredi 27 janvier 2016 09:03

Toutes les réponses

  • Bonjour,

    Cela dépend de l'étendu du groupe :

    Local ou domaine, Global ou Universel.

    Vous pouvez lire ce petit tuto qui vous expliquera lequel choisir.

    http://www.alexwinner.com/articles/win2008/9-groupead.html

    Cordialement


    S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution. Mon blog : http://Les2t.fr

    mercredi 27 janvier 2016 07:56
  • Il s'agit d'un groupe de sécurité global.

    Mais à la lecture de ce tuto, je me dis qu'il n'est pas possible d'avoir un groupe de ce type contenant des membres de deux forêts distinctes, quelque soit l'approbation mise en place

    Je me trompe ?

    mercredi 27 janvier 2016 08:08
  • Oui,

    c'est bien sur possible.

    sur technet : https://technet.microsoft.com/fr-fr/library/cc772808%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    dans la partie Méthodes conseillées relatives à l'utilisation de groupes de sécurité sur plusieurs forêts vous trouverez votre cas expliqué en détail.

    Cordialement


    S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution. Mon blog : http://Les2t.fr

    • Marqué comme réponse Emile Supiot jeudi 28 janvier 2016 15:30
    mercredi 27 janvier 2016 08:14
  • bonjour

    Veuillez trouver un bon article concernant le sujet :

    http://blogs.technet.com/b/wikininjasfr/archive/2015/02/15/mise-en-place-d-39-une-relation-d-39-approbation-entre-for-234-t.aspx

    Autre :

    http://www.labo-microsoft.org/articles/win/trust/4/

    Après vérification de votre configuration, il faut pas oublié la notion des groupes universelles.

    Cordialement

    mercredi 27 janvier 2016 08:29
  • Je regarde de nouveau tout ça, et je reviens au besoin.

    J'ai effectivement suivi le tuto "http://blogs.technet.com/b/wikininjasfr/archive/2015/02/15/mise-en-place-d-39-une-relation-d-39-approbation-entre-for-234-t.aspx" pour réaliser l'approbation.

    Par contre derrière ça, impossible encore de créer un groupe dans le domaine A de la forêt A comprenant des membres du domaine A / Forêt A et des membres du domaine B / Forêt N

    Merci pour votre aide


    • Modifié Yuma23 mercredi 27 janvier 2016 08:52
    mercredi 27 janvier 2016 08:50
  • Effectivement le groupe global peut être membre de groupes d'autres domaines par contre il ne peut contenir des membres que de son domaine.

    Si vous voulez donner un accés à une ressource de votre domaine créer un groupe local et vous pourrez ajouter des groupes globaux contenant les utilisateurs venant de domaine approuvé.

    En générale du côté des ressources on utilise des groupe de domaine local, côté utilisateur des groupes globaux.

    mercredi 27 janvier 2016 09:03
  • Merci encore une fois pour l'information. Une révision s'impose.

    Je pensais qu'il fallait que je crée un groupe universel dans lequel j'aurais ajouté des groupes globaux.

    L'appellation "local" me semblait assez explicite pour ne pas imaginer qu'on puisse y ajouter des groupes de la forêt du partenaire.

    Merci

    mercredi 27 janvier 2016 09:16
  • Le groupe de domaine local ne peut être utilisé que localement pour affecter des droits sur des dossiers par exemple. Donc tu ne pourra l'utiliser comme élément de sécurité sur un partage d'un autre domaine. Le partage doit être dans le même domaine que le groupe. Par contre les membres du groupe de domaine local peuvent être des groupe de d'autres domaines.

    Pour les groupes globaux ils ne peuvent contenir que d'autres groupe globaux utilisateurs ou ordinateurs du même domaine mais ils peuvent être membre de groupe universelle et groupe de domaine locale dans d'autres domaines.

    Les groupes de domaines locaux sont utilisé côté ressources, les groupes de globaux côté utilisateur.

    Il faut bien comprendre la différence entre qui peut en être membre (onglet "membre") et de qui il peut être membre ( onglet membre de)

    Voir modèle AGDLP et 

    https://msdn.microsoft.com/fr-fr/library/cc755692%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396


    mercredi 27 janvier 2016 09:26