Domaines principaux et approuvés
Les termes suivants décrivent les domaines qui existent sur les systèmes distants.
Domaine principal
Un domaine principal est le domaine chargé d’établir d’autres relations d’approbation et d’effectuer l’authentification (ou de transmettre une demande d’authentification à un domaine approuvé approprié). Les contrôleurs de domaine dans le domaine principal gèrent ou transmettent les demandes d’authentification qui proviennent de la station de travail.
Lorsque l’ouverture de session se produit, LSA vérifie les domaines intégrés et de compte pour obtenir des informations d’authentification. Si le compte en cours de connexion ne se trouve dans aucun de ces domaines, la demande d’ouverture de session est transmise au domaine principal du système.
Domaine approuvé
Un domaine approuvé est un domaine approuvé par le système local pour authentifier les utilisateurs. En d’autres termes, si un utilisateur ou une application est authentifié par un domaine approuvé, cette authentification est acceptée par tous les domaines qui approuvent le domaine d’authentification.
Chaque domaine subordonné a automatiquement une relation d’approbation bidirectionnelle avec le domaine main. Par défaut, cette approbation est transitive, ce qui signifie que si un système approuve le domaine A, il approuve également tous les domaines approuvés par le domaine A. Les approbations unidirectionnelle sont également prises en charge pour les systèmes d’exploitation antérieurs à Windows 2000, qui ne prennent pas en charge les approbations bidirectionnelle transitives.
L’autorité de sécurité locale (LSA) a un type d’objet, TrustedDomain, qui est utilisé pour stocker des informations sur les relations d’approbation, y compris le nom et l’identificateur de sécurité (SID) du domaine approuvé, le compte dans le domaine à utiliser pour les demandes d’authentification, les demandes de traduction de nom et de SID, ainsi que les noms des contrôleurs de domaine dans le domaine approuvé.
Sur les contrôleurs de domaine, LSA crée un instance d’un objet TrustedDomain pour chaque domaine approuvé par le système local.
Par exemple, si une station de travail Windows XP approuve un contrôleur de domaine Windows 2000 qui à son tour approuve quatre autres systèmes, la station de travail, connectée à l’aide d’une approbation transitive, aura cinq objets TrustedDomain sur son système local.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour