Modèles de conception de forêt
Vous pouvez appliquer l’un des trois modèles de conception de forêt suivants dans votre environnement Active Directory :
Modèle de forêt organisationnelle
Modèle de forêt de ressources
Modèle de forêt à accès restreint
Il est probable que vous devrez utiliser une combinaison de ces modèles pour répondre aux besoins de tous les différents groupes de votre organisation.
Modèle de forêt organisationnelle
Dans le modèle de forêt organisationnelle, les comptes d’utilisateur et les ressources sont contenus dans la forêt et gérés indépendamment. La forêt organisationnelle peut être utilisée pour fournir l’autonomie du service, l’isolation du service ou l’isolation des données, si la forêt est configurée pour empêcher l’accès à quiconque en dehors de la forêt.
Si les utilisateurs d’une forêt organisationnelle doivent accéder aux ressources d’autres forêts (ou l’inverse), des relations d’approbation peuvent être établies entre une forêt organisationnelle et les autres forêts. Cela permet aux administrateurs d’accorder l’accès aux ressources de l’autre forêt. L’illustration suivante montre un modèle de forêt organisationnelle.
Chaque conception Active Directory comprend au moins une forêt organisationnelle.
Modèle de forêt de ressources
Dans le modèle de forêt de ressources, une forêt distincte est utilisée pour gérer les ressources. Les forêts de ressources ne contiennent pas de comptes d’utilisateur autres que ceux requis pour l’administration du service et ceux nécessaires pour fournir un autre accès aux ressources de cette forêt, si les comptes d’utilisateur de la forêt organisationnelle deviennent indisponibles. Les approbations de forêt sont établies afin que les utilisateurs d’autres forêts puissent accéder aux ressources contenues dans la forêt de ressources. L’illustration suivante montre un modèle de forêt de ressources.
Les forêts de ressources fournissent une isolation du service qui permet de protéger les zones du réseau qui doivent conserver un état de haute disponibilité. Par exemple, si votre entreprise comprend une usine de fabrication qui doit continuer de fonctionner en cas de problèmes sur le reste du réseau, vous pouvez créer une forêt de ressources distincte pour le groupe de fabrication.
Modèle de forêt à accès restreint
Dans le modèle de forêt à accès restreint, une forêt distincte est créée pour contenir des comptes d’utilisateur et des données qui doivent être isolés du reste de l’organisation. Les forêts à accès restreint fournissent une isolation des données dans les situations où les conséquences de la compromission des données de projet sont graves. L’illustration suivante montre un modèle de forêt à accès restreint.
Les utilisateurs d’autres forêts ne peuvent pas se voir accorder l’accès aux données restreintes, car aucune approbation n’existe. Dans ce modèle, les utilisateurs disposent d’un compte dans une forêt organisationnelle pour accéder aux ressources organisationnelles générales et d’un compte d’utilisateur distinct dans la forêt à accès restreint pour accéder aux données confidentielles. Ces utilisateurs doivent disposer de deux stations de travail distinctes, l’une connectée à la forêt organisationnelle et l’autre connectée à la forêt à accès restreint. Cela empêche qu’un administrateur de service d’une forêt puisse accéder à une station de travail dans la forêt restreinte.
Dans les cas extrêmes, la forêt à accès restreint peut être conservée sur un réseau physique distinct. Les organisations qui travaillent sur des projets gouvernementaux confidentiels conservent parfois des forêts à accès restreint sur des réseaux distincts pour répondre aux exigences de sécurité.