Domaines principaux et approuvés
Les termes suivants décrivent les domaines qui existent sur les systèmes distants.
Domaine principal
Un domaine principal est le domaine qui est responsable de l’établissement de relations d’approbation supplémentaires et de l’exécution de l’authentification (ou pour la transmission d’une demande d’authentification à un domaine approuvé approprié). Les contrôleurs de domaine dans le domaine principal gèrent ou transmettent les demandes d’authentification qui proviennent de la station de travail.
Lorsque l’ouverture de session se produit, l’autorité LSA vérifie les informations d’authentification dans les domaines intégrés et de compte. Si le compte qui est connecté à ne figure pas dans l’un de ces domaines, la demande d’ouverture de session est transmise au domaine principal du système.
Domaine approuvé
Un domaine approuvé est un domaine approuvé par le système local pour authentifier les utilisateurs. En d’autres termes, si un utilisateur ou une application est authentifié par un domaine approuvé, cette authentification est acceptée par tous les domaines qui approuvent le domaine d’authentification.
Chaque domaine subordonné a automatiquement une relation d’approbation bidirectionnelle avec le domaine principal. Par défaut, cette approbation est transitive, ce qui signifie que si un système approuve le domaine A, il approuve également tous les domaines approuvés par le domaine A. les approbations à sens unique sont également prises en charge pour les systèmes d’exploitation antérieurs à Windows 2000, qui ne prennent pas en charge les approbations transitives bidirectionnelles.
L' autorité de sécurité locale (LSA) a un type d’objet, trustedDomain, qui est utilisé pour stocker des informations sur les relations d’approbation, y compris le nom et l' identificateur de sécurité (SID) du domaine approuvé, le compte dans le domaine à utiliser pour les demandes d’authentification, les demandes de traduction de nom et SID et les noms des contrôleurs de domaine dans le domaine approuvé.
Sur les contrôleurs de domaine, l’autorité LSA crée une instance d’un objet trustedDomain pour chaque domaine approuvé par le système local.
par exemple, si une station de travail Windows XP approuve un contrôleur de domaine Windows 2000 qui, à son tour, approuve quatre autres systèmes, la station de travail, connectée à l’aide d’une approbation transitive, aura cinq objets TrustedDomain sur son système local.