Détermination du nombre de forêts nécessaires
Pour déterminer le nombre de forêts que vous devez déployer, vous devez identifier et évaluer soigneusement les exigences d’isolation et d’autonomie pour chaque groupe de votre organisation et mapper ces exigences aux modèles de conception de forêt appropriés.
Lorsque vous déterminez le nombre de forêts à déployer pour votre organisation, tenez compte des éléments suivants :
Les exigences d’isolation limitent vos choix de conception. Par conséquent, si vous identifiez les exigences d’isolation, assurez-vous que les groupes nécessitent réellement l’isolation des données et que l’autonomie des données ne leur suffit pas. Assurez-vous que les différents groupes de votre organisation comprennent clairement les concepts d’isolement et d’autonomie.
La négociation de la conception peut être un processus long. Il peut être difficile pour les groupes de s’entendre sur la propriété et l’utilisation des ressources disponibles. Veillez à laisser suffisamment de temps aux groupes de votre organisation pour mener des recherches adéquates afin d’identifier leurs besoins. Fixez des échéances fermes pour les décisions de conception et obtenez un consensus de toutes les parties sur les délais établis.
La détermination du nombre de forêts à déployer implique d’équilibrer les coûts et les avantages. Un modèle à forêt unique est l’option la plus économique et nécessite le moins de surcharge administrative. Bien qu’un groupe de l’organisation puisse préférer des opérations de service autonomes, il peut être plus économique pour l’organisation de s’abonner à la prestation de services à partir d’un groupe informatique centralisé et fiable. Cela permet au groupe de gérer les données sans créer de coûts supplémentaires de gestion des services. L’équilibrage des coûts et des avantages peut nécessiter une contribution du cadre responsable.
Une forêt unique est la configuration la plus simple à gérer. Elle permet une collaboration maximale au sein de l’environnement pour les raisons suivantes :
Tous les objets d’une forêt unique sont répertoriés dans le catalogue global. Par conséquent, aucune synchronisation entre les forêts n’est requise.
La gestion d’une infrastructure en double n’est pas requise.
Nous déconseillons la co-propriété d’une forêt unique par deux organisations informatiques distinctes et autonomes. Il se peut que les objectifs des deux groupes informatiques changent à l’avenir, si bien qu’ils n’accepteront plus le contrôle partagé.
Nous déconseillons d’externaliser l’administration des services à plusieurs partenaires externes. Les organisations multinationales qui ont des groupes dans différents pays ou régions peuvent choisir d’externaliser l’administration des services à un partenaire externe différent pour chaque pays ou région. Étant donné que plusieurs partenaires externes ne peuvent pas être isolés les uns des autres, les actions d’un partenaire peuvent affecter le service de l’autre, ce qui rend difficile de tenir les partenaires responsables de leurs contrats de niveau de service.
Une seule instance d’un domaine Active Directory doit exister à tout moment. Microsoft ne prend pas en charge le clonage, le fractionnement ou la copie de contrôleurs de domaine à partir d’un domaine dans une tentative d’établissement d’une deuxième instance du même domaine. Pour plus d’informations sur cette limitation, consultez la section suivante.
Limitations de la restructuration
Lorsqu’une société acquiert une autre société, une unité commerciale ou une gamme de produits, la société acheteuse peut également vouloir acquérir les ressources informatiques correspondantes auprès du vendeur. Plus précisément, l’acheteur peut vouloir acquérir tout ou partie des contrôleurs de domaine qui hébergent les comptes d’utilisateur, les comptes d’ordinateur et les groupes de sécurité correspondant aux actifs commerciaux à acquérir. Les seules méthodes prises en charge par l’acheteur pour acquérir les ressources informatiques stockées dans la forêt Active Directory du vendeur sont les suivantes :
Acquérir la seule instance de la forêt, y compris tous les contrôleurs de domaine et les données de répertoire dans l’ensemble de la forêt du vendeur.
Migrer les données de répertoire nécessaires de la forêt ou des domaines du vendeur vers un ou plusieurs domaines de l’acheteur. La cible d’une telle migration peut être une forêt entièrement nouvelle ou un ou plusieurs domaines existants déjà déployés dans la forêt de l’acheteur.
Cette limitation de prise en charge existe pour les raisons suivantes :
Chaque domaine d’une forêt Active Directory se voit attribuer une identité unique lors de la création de la forêt. La copie de contrôleurs de domaine d’un domaine d’origine vers un domaine cloné compromet la sécurité des domaines et de la forêt. Les menaces qui pèsent sur le domaine d’origine et le domaine cloné sont les suivantes :
Partage de mots de passe qui peuvent être utilisés pour accéder aux ressources
Informations relatives aux comptes et groupes d’utilisateurs privilégiés
Mappage d’adresses IP aux noms d’ordinateurs
Ajout, suppression et modification des informations du répertoire si les contrôleurs de domaine d’un domaine cloné établissent la connectivité réseau avec les contrôleurs de domaine du domaine d’origine
Les domaines clonés partagent une identité de sécurité commune. Par conséquent, les relations d’approbation ne peuvent pas être établies entre eux, même si l’un des domaines ou les deux ont été renommés.