Les approbations de forêt Active Directory sont-elles transitives?
-
04-07-2019 - |
Question
Je travaille sur le dépannage d'une application en cours de développement qui utilise les informations d'Active Directory dans un environnement multi-forêt et le problème actuel consiste à déterminer si les approbations de forêt sont transitives et, le cas échéant, dans quelles conditions.
Configuration: à l'aide d'Active Directory 2003, ForestA dispose d'une approbation de forêt bidirectionnelle avec ForestB . ForestB dispose d'une approbation de forêt bidirectionnelle avec ForestC .
Dans cette situation, existe-t-il une relation de confiance quelconque entre ForestA et ForestC? J'ai trouvé des informations contradictoires. ce premier lien indique clairement que la confiance de la forêt n’est pas transitive par rapport à d’autres forêts:
Les approbations de forêts ne peuvent être créées qu'entre deux forêts et ne peuvent pas être implicitement étendues à une troisième forêt. Cela signifie que si une approbation de forêt est créée entre la forêt 1 et la forêt 2 et qu'une approbation de forêt est également créée entre la forêt 2 et la forêt 3, la forêt 1 n'aura pas d'approbation implicite avec la forêt 3.
Cependant, je peux également trouver dans la liste des types de confiance une indication que les approbations de forêt sont transitives:
Type de confiance: forêt Transitivité: Transitive
Au-dessus de cette forêt, les approbations apparaissent sous la forme & "; transitive &"; dans la liste des approbations de répertoire actif lorsqu’elles sont affichées via & "; Gérer les domaines et les approbations" & ";
Cela signifie-t-il que l'approbation de forêt est transitive WITHIN de la forêt de confiance, mais pas d'autres forêts? Donc, dans le scénario mentionné précédemment:
ForestA < - > ForestB < - > ForestC
Les sous-domaines captureraient la confiance de la forêt par transitivité (le sous-domaine1. ForestA ferait donc confiance à office7. ForestB ), mais l'accès serait partagé entre ForestA et ForestB . Est-ce correct ou suis-je dérouté par les informations plutôt déroutantes publiées par Microsoft? Quelqu'un at-il une expérience personnelle de ce qu'ils peuvent partager?
La solution
Plus précisément, je crois que le "ient "transitif &"; dans les approbations de forêt transitive de Microsoft concerne les domaines de chaque forêt plutôt que forêt à forêt à forêt.
ex.
Forêt 1 avec le domaine racine A et deux domaines enfants B et C Forêt 2 avec le domaine racine X et deux domaines enfants Y et Z
Avec un domaine de confiance de forêt transitive, le domaine Z approuverait le domaine C automatiquement, sans qu'il soit nécessaire de créer un lien de confiance direct (confiance de raccourci).
Autres conseils
Les tests avec trois domaines affichent les informations provenant des approbations de forêt . correct; lorsque je configure trois forêts dans la configuration ForestA < - > ForestB & Lt; - & Gt; ForestC ForestA n'a pas été en mesure de voir les informations d'identification de ForestC.
Les approbations inter-forêts ne sont PAS transitives. Les approbations parent / enfant de Doman / tree sont ...
http://technet.microsoft.com/ en-us / library / cc773178 (WS.10) .aspx
La confiance de domaine NT 4 n’était pas transitive de cette manière. Pas sûr de la MA.