Partager via


Utilisation du modèle de forêt de domaines d’organisation

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Dans le modèle de forêt de domaine de l’organisation, plusieurs groupes autonomes possèdent chacun un domaine au sein d’une forêt. Chaque groupe contrôle l’administration du service au niveau du domaine, ce qui lui permet de gérer certains aspects de la gestion des services de manière autonome tandis que le propriétaire de la forêt contrôle la gestion des services au niveau de la forêt.

L’illustration suivante montre un modèle de forêt de domaine d’organisation.

using the org domain forest model

Autonomie du service au niveau du domaine

Le modèle de forêt de domaine d’organisation permet la délégation d’autorité pour la gestion des services au niveau du domaine. Le tableau suivant répertorie les types de gestion des services qui peuvent être contrôlés au niveau du domaine.

Type de gestion des services Tâches associées
Gestion des opérations de contrôleur de domaine - Création et suppression de contrôleurs de domaine
- Surveillance du fonctionnement des contrôleurs de domaine
- Gestion des services qui s’exécutent sur les contrôleurs de domaine
- Sauvegarde et restauration de l’annuaire
Configuration des paramètres à l’échelle du domaine - Création de stratégies de compte d’utilisateur de domaine et de domaine, comme les stratégies de mot de passe, Kerberos et de verrouillage de compte
- Création et application de stratégie de groupe à l’échelle du domaine
Délégation de l’administration au niveau des données - Création d’unités d’organisation (UO) et délégation de l’administration
- Résolution des problèmes de la structure de l’unité d’organisation pour lesquels les propriétaires d’unités d’organisation ne disposent pas de droits d’accès suffisants en vue d’une résolution
Gestion des approbations externes - Établissement de relations d’approbation avec des domaines en dehors de la forêt

Les autres types de gestion des services, comme la gestion des schémas ou de la topologie de réplication, sont de la responsabilité du propriétaire de la forêt.

Propriétaire de domaine

Dans un modèle de forêt de domaine d’organisation, les propriétaires de domaine sont responsables des tâches de gestion des services au niveau du domaine. Les propriétaires de domaine ont autorité sur l’ensemble du domaine, ainsi que l’accès à tous les autres domaines de la forêt. Pour cette raison, les propriétaires de domaine doivent être des personnes de confiance sélectionnées par le propriétaire de la forêt.

Déléguez la gestion des services au niveau du domaine à un propriétaire de domaine, si les conditions suivantes sont remplies :

  • Tous les groupes participant à la forêt approuvent le nouveau propriétaire du domaine et les pratiques de gestion des services du nouveau domaine.

  • Le nouveau propriétaire de domaine approuve le propriétaire de la forêt et tous les autres propriétaires de domaine.

  • Tous les propriétaires de domaine de la forêt conviennent que le nouveau propriétaire du domaine dispose de stratégies et de pratiques de gestion et de sélection des administrateurs de services qui sont au moins aussi strictes que les leurs.

  • Tous les propriétaires de domaine de la forêt conviennent que les contrôleurs de domaine gérés par le nouveau propriétaire de domaine dans le nouveau domaine sont physiquement sécurisés.

Notez que si un propriétaire de forêt délègue la gestion des services au niveau du domaine à un propriétaire de domaine, d’autres groupes peuvent choisir de ne pas joindre cette forêt s’ils n’approuvent pas ce propriétaire de domaine.

Tous les propriétaires de domaine doivent savoir que si l’une de ces conditions change à l’avenir, il peut s’avérer nécessaire de déplacer les domaines d’organisation dans un déploiement à plusieurs forêts.

Notes

Une autre façon de réduire les risques de sécurité pour un domaine Active Directory Windows Server 2008 consiste à utiliser la séparation des rôles d’administrateur, ce qui nécessite le déploiement d’un contrôleur de domaine en lecture seule (RODC) dans votre infrastructure Active Directory. Un contrôleur de domaine est un nouveau type de contrôleur de domaine dans le système d’exploitation Windows Server 2008 qui héberge des partitions en lecture seule de la base de données Active Directory. Avant la publication de Windows Server 2008, tout travail de maintenance de serveur sur un contrôleur de domaine devait être effectué par un administrateur de domaine. Dans Windows Server 2008, vous pouvez déléguer des autorisations d’administration locales pour un contrôleur de domaine à n’importe quel utilisateur de domaine sans lui accorder de droits d’administration pour le domaine ou d’autres contrôleurs de domaine. Cela permet à l’utilisateur délégué de se connecter à un contrôleur de domaine en lecture seule et d’effectuer des travaux de maintenance, comme la mise à niveau d’un pilote, sur le serveur. Toutefois, cet utilisateur délégué ne peut pas se connecter à un autre contrôleur de domaine ou effectuer d’autres tâches administratives dans le domaine. Ainsi, n’importe quel utilisateur approuvé peut être délégué à la possibilité de gérer efficacement le contrôleur de domaine en lecture seule sans compromettre la sécurité du reste du domaine. Pour plus d’informations sur les contrôleurs de domaine en lecture seule, consultez AD DS : Contrôleurs de domaine en lecture seule.