L’Active directory n’est pas limité à un seul et unique domaine, le saviez-vous ? Eh bien, chaque domaine présente des sous-domaines représentés par des arbres, donnant l’impression de voir une forêt orné d’arbres. C’est le concept qui donne l’appellation forêt active directory. Mais qu’est-ce que c’est ? Comment procéder pour en concevoir ? Allons tout de suite faire le point sur la forest.
Le Forêt Active Directory : Qu’est-ce que c’est ?
La Forêt Active Directory, pouvant également être appelé Forêt AD, est le niveau le plus élevé de conteneur logique au sein de la configuration Active Directory. On parle ici d’une configuration qui contient les domaines, les utilisateurs, les ordinateurs mais aussi les règles groupées.
La forest est une couche qui se trouve au niveau supérieur des domaines. En dessous de chacun des domaines concernés, il peut y avoir plus d’un arbre donnant lieu à une forêt.
Cette couche en plus de haut niveau présente des soucis de sécurité considérables en terme d’exploitation. Mais l’implantation du concept peut améliorer l’isolement et l’autonomie.
Le conception d’une forêt : Comment ça marche ?
Pour créer une forest, il est fréquent de disposer de nombreux domaines et GPO coexistant au sein d’une ou plusieurs forêts.
Avant toute choses, les exigences organisationnelles doivent toutes être déterminées de manière à exposer toutes les normes de sécurité. La conversation doit être encadrée et focalisée sur la sécurisation des données.
Cela concerne :
- Les règles fondamentales à mettre en place au niveau de la forêt AD si besoin ;
- La nécessité ou non de domaines en plus avec des règles de sécurité et d’un réseau séparés ;
- L’existence d’exigence applicatives ou légales qui imposent la séparation de domaine dans la forêt.
Une fois toutes les exigences en terme d’autonomie et d’isolement définies, les concepteurs peuvent commencer à construire la forêt, tous les domaines et les GPO selon les besoins de l’organisation.
Comment déterminer le nombre de forêts ?
Il se peut que dans des cas spécifiques, il est nécessaire de procéder à la conception de plus d’une forêt séparée. Par ailleurs, plus le nombre de forêt est important, plus la gestion du schéma AD est complexe.
S’il est requis de faire un rajout de forêt pour les besoins de votre schéma AD, il est essentiel de prendre en compte certains critères.
Pour commencer, il vous faut vous demander s’il est possible d’arriver à un niveau d’isolement suffisamment important sans avoir à créer une autre forêt.
La composition des parties prenantes est également un critère à considérer. Il ne faut pas oublier que gérer à la fois deux forêts requiert plus de serveurs et alors de frais informatiques importants.
Les ressources disponibles sont les critères les plus importants. Chaque forêt AD devra être gérée par une équipe informatique distincte, pour un meilleur cloisonnement de toutes les taches. Ce qui implique des ressources budgétaires plus élevées.
C’est pourquoi, il est préférable de se limiter à une seule forêt dans la mesure où l’efficacité est suffisante.
Un seul ou plusieurs forêts : Que choisir ?
Une seule forêt est un concept plus simple et pratique. Il est tout à fait avantageux d’opter pour un seul environnement sécurisé, incluant différents domaines, sans avoir à endosser des charges supplémentaires.
L’utilisation de plusieurs forêts assure un renforcement éventuel de la sécurité des domaines, mais cela n’est pas sans conséquences sur le plan financier. Bien sûr, les couts devront aussi augmenter.
C’est à vous de faire un choix entre les deux options, avec une évaluation au préalable de vos besoins.
Les différents modèles de forêts AD
La forêt organisationnelle
C’est un modèle de conception dans laquelle la gestion des comptes utilisateurs et les ressources est faite ensemble. Il s’agit du modèle standard.
La conception organisationnelle assure une bonne autonomie, que ce soit pour les utilisateurs ou les ressources. Les services et les informations sont bien isolés de l’extérieur de la forêt. Il est nécessaire de disposer d’une relation d’accréditation pour avoir accès à des ressources venant de l’extérieur.
La forêt de ressources
Pour ce modèles, les comptes utilisateurs et les ressources sont gérés séparément. La configuration est utilisée pour assurer une séparation entre le système de fabrication et le système critique, ce qui permet à la forêt de fonctionner même en cas de problème.
La forêt organisationnelle contient les utilisateurs, tandis que les ressources se trouvent dans d’autres forêts. Le partage des ressources entre utilisateurs est autorisé avec accréditation. Il s’agit ici d’un service très isolé.
La forêt à accès limité
Ce modèle-ci assure un isolement complet des utilisateurs et des ressources des autres forêts. Il est utilisé pour sécuriser entièrement les données avec un accès limité.
Aucune accréditation n’est disponible pour passer à la forêt à accès limité. Si besoin, un hébergement sur un réseau séparé est possible.
A vous la liberté de choisir le modèle qui vous convient !
