III.1.8.5.Ameliorer
l'authentification des utilisateurs
Chaque fois qu'un utilisateur tente de se loguer pour ouvrir
la session sur une machine intégrée au domaine; un RODC
tente d'authentifier un compte par rapport aux mots de passe qu'il
possède en cache. Si celui-ci ne se trouve pas dans sa cache, il
contactera un contrôleur de domaine inscriptible afin d'authentifier
l'utilisateur. Dans le même temps, il regardera si la stratégie de
réplication des mots de passe autorise le mot de passe de ce compte
à être mis en cache sur le RODC ou non. Ainsi, si la
stratégie le permet, les requêtes d'authentification seront
directement traitées par le RODC.
III.1.8.6.Acceder aux
ressources du réseau plus rapidement
Pour permettre la rapidité et éviter les
latences répétitives dans les transactions intersites ou lors
d'une tentative de résolution des noms par un utilisateur n'ayant pas de
serveur DNS proche de lui ; l'occasion est donnée à un RODC
d'installer le service DNS. Ce service sera également en lecture seule
sur un RODC et les ordinateurs n'auront pas la possibilité d'inscrire
leurs enregistrements de façon dynamique sur ce DNS.
III.1.8.7.
Stratégies de mot de passe et de verrouillage de compte
Il est ainsi possible de définir pour raison de
sécurité un objet paramètres de mot de passe
(appelé aussi PSO pour Password Settings Object) différent
entre les utilisateurs.
Dans la pratique, par moment une durée de vie maximale
des mots de passe est de 30 jours pour les comptes administrateurs. Les comptes
de services auront quant à eux une longueur minimale du mot de passe de
36 caractères et qui n'expire jamais.
Par défaut, seuls les membres du groupe «
Administrateurs du domaine » ont la possibilité de définir
des stratégies de mot de passe multiples. Comme pour empêcher aux
pirates qui tentent de s'introduire dans le réseau sans autorisation de
l'administrateur ; le compte sera également verrouillé
après dix mauvaises tentatives. Ces principes limitent les risques de
compromissions du mot de passe des administrateurs.
III.1.8.8. Approbation de
domaines sur Windows serveur 2008
Une relation d'approbation est un mécanisme
créé entre un réseau d'entreprise et un autre
réseau partenaire ;afin de projeter l'identité des
utilisateurs, et leurs droits d'accès depuis leur réseau vers les
partenaires approuvés. Dans ce cas ;l'utilisateur n'aura ainsi pas
à entrer à nouveau ses identifiants afin d'accéder aux
ressources du domaine approuvant ou approuvé. Les domaines peuvent
étendre les services d'authentification aux utilisateurs, dans les
domaines en dehors de leur propre foret grâce à une relation
d'approbation.
Fig.11 : image illustrant une relation d'approbation entre
différents domaines
L'acceptation des relations d'approbation entre deux ou
plusieurs domaines ; introduit la notion d'approbation
externes ;cette dernière consiste en une relation d'approbation
entre des domaines Windows 2000/2003 par exemple,situés dans des forets
différentes ainsi que des approbations entreun domaine Windows 2000/2003
et un domaine Windows NT 4.0 ou versions antérieures. Une fois la
relation d'approbation établie ;le domaine approuvant peut
authentifier les utilisateurs sur le réseau du partenaire
professionnel ;puis accorder aux utilisateurs des droits et autorisations
pour accéder aux ressources du domaine de l'entreprise approuvant.
III.1.8.1. Types d'approbations
Il existe deux types des relations d'approbation qui
sont : Approbation transitive et approbation non transitive.
v Approbation transitive : dans
une approbation transitive ; une relation d'approbation étendue
à un domaine est automatiquement étendue aussi à tous les
autres domaines approuvant ce dit domaine.si par exemple le domaine D approuve
le domaine E, qui à son tour approuve le domaine F ; étant
donné que les deuxpremières relations d'approbation sont
transitives, le domaine D approuve indirectement le domaine F et
inversement.
v Approbation non transitive :
une relation d'approbation non transitive peut être externe comme dans le
cas d'une relation entre deux domaines des forets différents.
| 
