Introduction à Active Directory

Questions and Answers

Quelle est la fonction principale d'une infrastructure IDA (Identité et Accès)?

• Optimiser les performances des bases de données.
• Stocker des informations sur les utilisateurs, groupes, ordinateurs et autres identités. (correct)
• Gérer la configuration matérielle des serveurs.
• Stocker des informations sur les réseaux.

L'authentification Kerberos dans Active Directory nécessite que les utilisateurs soient authentifiés plusieurs fois par session.

False (B)

Quel est le terme utilisé pour décrire le processus de vérification de l'identité d'un utilisateur?

Authentification

Les informations d'identification pour l'authentification nécessitent au moins deux composants: un nom d'utilisateur et un ______.

secret

Associez les termes suivants à leur description dans le contexte de la sécurité Active Directory:

SID = Identificateur unique de sécurité. ACL = Liste de contrôle d'accès. ACE = Entrée de contrôle d'accès. Jeton d'accès = Représente l'utilisateur et ses autorisations.

Quelle est la fonction d'un jeton d'accès dans le processus d'autorisation?

Représenter l'utilisateur et ses autorisations. (D)

Un domaine Active Directory est un magasin d'identités non approuvées.

False (B)

Dans un contexte d'authentification autonome, quel est le nom de la base de données utilisée pour stocker les informations d'identification?

SAM

Le ______ d'accès de l'utilisateur contient le SID de l'utilisateur, le SID du groupe membre, les privilèges et autres informations d'accès.

jeton

Associez les termes suivants à leur description :

AAA = Authentification, Autorisation et Comptabilisation. CIA = Confidentialité, Intégrité et Disponibilité. IDA = Identité et Accès.

Lequel des énoncés suivants décrit le mieux la fonction d'un schéma Active Directory?

Un modèle pour Active Directory définissant des attributs et des classes d'objets. (C)

Les unités d'organisation (OU) peuvent être utilisées pour déléguer des autorisations administratives.

True (A)

Comment appelle-t-on l'endroit centralisé où sont stockés une seule configuration et un seul schéma répliqués dans tous les contrôleurs de domaine?

Forêt

Le ______ global contient tous les objets dans chaque domaine de la forêt, mais contient uniquement les attributs sélectionnés.

catalogue

Associez les composants Active Directory à leur description :

Domaine = Le contexte dans lequel sont créés les utilisateurs et les groupes. Contrôleur de domaine = Serveur hébergeant la base de données Active Directory. Site = Représente une partie bien connectée du réseau.

Quelle est l'utilité des stratégies de groupe dans Active Directory?

Fournir un point unique de gestion pour la sécurité et la configuration. (B)

La réplication dans Active Directory est un processus à maître unique.

False (B)

Quel protocole est utilisé pour accéder à la base de données Active Directory?

LDAP

Le niveau ______ d'une forêt ou d'un domaine détermine les fonctionnalités disponibles dans Active Directory.

fonctionnel

Associez les partitions logiques d'Active Directory avec leur description :

Schéma = Définit les classes et les attributs des objets. Configuration = Stocke les informations sur la topologie. Domaine = Contexte d'appellation pour les objets.

Quel est l'avantage d'utiliser les relations d'approbation entre les domaines Active Directory?

Extension du magasin d'identités approuvées à d'autres domaines. (C)

Active Directory Lightweight Directory Services (AD LDS) nécessite un schéma identique à Active Directory Domain Services (AD DS).

False (B)

Quel service Active Directory est utilisé pour gérer les certificats numériques?

AD CS

Dans Active Directory, pour fonctionner, les services AD RMS requiert ______ et une base de données

IIS

Associez les services Active Directory aux descriptions :

ADFS = Étend l'authentification aux applications web. AD RMS = Protège les informations contre les utilisations non autorisées. AD LDS = Fournit un service d'annuaire léger à des applications.

Quelle est la première étape à suivre pour installer un contrôleur de domaine?

Installer le rôle Services de domaine Active Directory. (C)

Il est possible d'ajouter un contrôleur de domaine exécutant une version antérieure de Windows après avoir élevé le niveau fonctionnel.

False (B)

Quel est le nom du fichier qui contient la base de données Active Directory?

ntds.dit

Dans un environnement Active Directory, la mise en œuvre d'une ______ permet d'assurer l'intégrité des informations.

PKI

Associez les services Active Directory Federation Services aux descriptions :

Approximation traditionnelle = Nécessite de nombreux ports TCP ouverts dans les pares-feux AD FS = Utilise des technologies web pour l'approbation

Parmi les affirmations suivantes, laquelle illustre le mieux Active Directory comme base de données?

Active Directory stocke les informations sous forme d'objets avec des attributs, accessibles via des outils et des API. (A)

La suppression d'un objet dans Active Directory est irréversible.

False (B)

Quelle fonctionnalité d'Active Directory permet de mettre à disposition certains attributs sélectionnés?

Catalogue Global

La ______ est l'étendue (limite) maximale pour certaines stratégies d'administration au sein d'Active Directory.

domaine

Associez chacun des Acronymes Active directory aux définitions suivantes :

AD DS = Fournit annuaire distribué centralisé. AD CS = Permet de déployer une infrastructure de clé publique (PKI) pour sécuriser les communications et les identités AD LDS = Offre un service d'annuaire léger pour les applications basées sur annuaire. AD RMS = Fournit à la fois des stratégies d'accès continues et une protection de l'utilisation des données. AD FS = Permet l'authentification unique et la gestion des identités fédérées.

Si vous possédez un environnement Active Directory déjà établit, quel Acronymes Active Directory utiliserez-vous pour fournir une infrastructure d'authentification unique pour vos applications web?

AD FS (C)

Plusieurs Forêts Active Directory disposent du même Schéma?

False (B)

Si vous possédez AD RMS installé, qu'est-ce qui permet de s'assurer que l'accès est limité et définit l'utilisation de Active Directory?

AD RMS

Afin de configurer un Active Directory, il faut d'abord installer le rôle ______.

AD DS

Associez des termes suivants qui est un modèle pour Active Directory en définissant des attributs :

objectSID = sAMAccountName = Description =

Quel protocole que le magasin d'identités est la base de données du Gestionnaire des comptes de sécurité (SAM)?

Authentification autonome (D)

L'Active Directory requiert que la réplication se fasse au même moment?

False (B)

Lequel des énoncés suivants décrit le mieux l'Active Directory lorsqu'il est utiliser comme services d'accès et d'identité?

Infrastructure

Dans une Active Directory, Une seule______et un seul schéma répliqués dans tous les contrôleurs de domaine de la forêt.

configuration

Associez la sécurité et l'accès approprier pour chacun

Jetons d'accès = autorisations de l'utilisateur Autorisation = Refuser à un utilisateur le niveau d'accès demandé Authentification = Vérification de l'identité de l'utilisateur

Flashcards

Protection des informations

Connecte les utilisateurs aux données de manière sécurisée.

IDA (Identité et Accès)

Identity and Access : Gère l'identité et l'accès des utilisateurs.

AAA

Authentication, Authorization, and Accounting. Gère l'authentification, l'autorisation et le suivi des accès.

CIA

Confidentiality, Integrity, and Availability. Assure la confidentialité, l'intégrité et la disponibilité des données.

Authentification

Un processus de vérification de l'identité d'un utilisateur.

Secret d'authentification

Un secret, comme un mot de passe.

Autorisation

Le processus de déterminer si un utilisateur doit avoir accès

Authentification autonome

Magasin d'identités sur un seul système.

Domaine Active Directory

Espace d'identités approuvées et centralisées.

Active Directory

Une instance de base de données avec des objets, attributs et plus encore.

Schéma Active Directory

Description des attributs et des classes d'objets dans AD.

Unités d'organisation

Active Directory comme base de données. Des conteneurs pour organiser et gérer les objets.

Gestion basée sur des stratégies

Une configuration qui permet l'application de stratégies pour la sécurité.

%racinesystème%\NTDS\ntds.dit

L'emplacement de la base de données Active Directory.

Contrôleurs de domaine

Serveurs qui maintiennent Active Directory.

Domaine (Active Directory)

Un regroupement logique d'objets dans Active Directory.

Réplication (AD)

S'assurer que tous les contrôleurs de domaine ont les dernières données.

Sites (Active Directory)

Objet AD représentant un emplacement physique du réseau.

Arborescence (AD)

Un regroupement hiérarchique de domaines.

Forêt (AD)

Un ensemble d'arborescences de domaines.

Catalogue global

Données partielles de tous les objets dans la forêt.

Niveau fonctionnel

Le plus bas système d'exploitation possible à utiliser.

Partitions d'applications

Méthode de délégation de l'administration pour l'AD.

Relations d'approbation

Les relations de confiance entre les domaines.

Gestionnaire de serveur

Outil de Windows pour configurer les serveurs.

AD LDS

Un service d'annuaire léger autonome.

Services de certificats AD

Infrastructure pour les certificats.

Services AD RMS

Gestion du droit lié aux documents

Services ADFS

AD FS : authentification entre différentes organisations.

Study Notes

Vue d'ensemble du module

• Présentation d'Active Directory, des identités et des accès
• Composants et concepts d'Active Directory
• Installation des Services de domaine Active Directory
• Étendre IDA avec des services Active Directory

Leçon 1 : Présentation d'Active Directory et des services d'accès et d'identité

• Protection des informations
• Identité et accès (IDA)
• Authentification et autorisation
• Authentification
• Jetons d'accès
• Descripteurs de sécurité, listes de contrôle d'accès et entrées de contrôle d'accès
• Autorisation
• Authentification autonome (groupe de travail)
• Domaines Active Directory : magasin d'identités approuvées
• Active Directory et services d'accès et d'identité

Protection des informations en quelques mots

• Connecter les utilisateurs aux données dont ils ont besoin, en toute sécurité
• IDA est Identity and Access (identité et accès)
• AAA est Authentication, Authorization, and Accounting (authentification, autorisation et gestion des comptes)
• CIA est Confidentiality, Integrity, and Availability (confidentialité, intégrité et disponibilité) et authenticité

Identité et accès (IDA)

• Une identité est un compte d'utilisateur
• Une identité est enregistrée dans un magasin d'identités (base de données d'annuaires)
• Une identité est une entité de sécurité représentée de manière unique par l'identificateur de sécurité (SID)
• Une ressource est un dossier partagé et sécurisé par un descripteur de sécurité
• La liste de contrôle d'accès discrétionnaire est (DACL ou « ACL »)
• Les entrées de contrôle d'accès sont (ACE ou « autorisations »)

Authentification et autorisation

• Un utilisateur présente des informations d'identification, authentifiées à l'aide des informations stockées avec son identité
• Le système crée un jeton de sécurité qui représente l'utilisateur avec le SID de l'utilisateur et tous les SID de groupe associés
• Une ressource est sécurisée avec une liste de contrôle d'accès (ACL), soit des autorisations correspondant à un SID avec un niveau d'accès
• Le jeton de sécurité de l'utilisateur est comparé à la liste ACL de la ressource pour autoriser le niveau d'accès demandé

Authentification

• L'authentification est le processus de vérification de l'identité d'un utilisateur
• Les informations d'identification nécessitent au moins deux composants : nom d'utilisateur et secret (par exemple, un mot de passe)
• Il existe deux types d'authentification : l'ouverture de session locale (interactive) et l'ouverture de session à distance (réseau) concernant l'accès aux ressources d'un autre ordinateur

Jetons d'accès

• Contient le SID de l'utilisateur
• Contient le SID du groupe membre
• Contient les privilèges (autorisations de l'utilisateur)
• Contient des informations d'accès différents

Descripteurs de sécurité, listes de contrôle d'accès et entrées de contrôle d'accès

• Descripteur de sécurité contient l'ACL du système (SACL)
• Descripteur de sécurité contient ACL discrétionnaire (DACL ou « ACL »)
• Descripteur de sécurité contient l'ACE Masque d'accès du client approuvé (SID)

Autorisation

• L'autorisation est le processus qui détermine s'il faut accorder ou refuser à un utilisateur le niveau d'accès demandé à une ressource
• L'autorisation nécessite trois éléments : une ressource, une demande d'accès et un jeton de sécurité
• Le jeton d'accès de l'utilisateur contient le SID de l'utilisateur, le SID du groupe, la liste des droits et d'autres informations d'accès
• Le système recherche la première ACE dans l'ACL qui autorise ou refuse le niveau d'accès demandé pour le SID présent dans le jeton de l'utilisateur
• Le descripteur de sécurité contient l'ACL du système (SACL), l'ACL discrétionnaire (DACL ou « ACL ») et l'ACE Masque d'accès du client approuvé (SID)

Authentification autonome (groupe de travail)

• Le magasin d'identités est la base de données du Gestionnaire des comptes de sécurité (SAM) dans le système Windows
• Il n'y a pas de magasin d'identités approuvées
• Plusieurs comptes d'utilisateur
• La gestion est difficile pour le mot de passe

Domaines Active Directory : magasin d'identités approuvées

• Il existe un magasin d'identités centralisé et approuvé par tous les membres du domaine
• Service d'authentification centralisé
• Hébergé par un serveur jouant le rôle d'un contrôleur de domaine des Services de domaine Active Directory (AD DS)

Active Directory et services d'accès et d'identité

• Une infrastructure IDA doit stocker les informations sur les utilisateurs, les groupes, les ordinateurs et les autres identités
• Une infrastructure IDA doit authentifier une identité
• L'authentification Kerberos utilisée dans Active Directory fournit l'authentification unique : les utilisateurs ne sont authentifiés qu'une fois
• Une infrastructure IDA doit contrôler l'accès et fournir une piste d'audit
• Services Active Directory :
• Services de domaine Active Directory (AD DS)
• Services AD LDS (Active Directory Lightweight Directory Services)
• Services de certificats Active Directory (AD CS)
• Services AD RMS (Active Directory Rights Management Services)
• Services ADFS (Active Directory Federation Services)

Leçon 2 : Composants et concepts d'Active Directory

• Active Directory comme base de données
• Démonstration : schéma Active Directory
• Unités d'organisation
• Gestion de base de stratégies
• Banque de données Active Directory
• Contrôleurs de domaine
• Domaine
• Réplication
• Sites
• Arborescence
• Forêt
• Catalogue global
• Niveau fonctionnel
• Partitions d'applications et DNS
• Relations d'approbation

Active Directory comme base de données

• Active Directory est une base de données
• Chaque « enregistrement » est un objet, tel que des utilisateurs, des groupes ou des ordinateurs
• Chaque « champ » est un attribut, comme : nom de connexion, SID, mot de passe, description et appartenance
• Identités (entités de sécurité ou « comptes »)
• Services : Kerberos, DNS et réplication
• AD DS est à la fois une base de données, ainsi que les services qui prennent en charge ou utilisent cette base de données
• Accès à la base de données : outils Windows, interfaces utilisateur et composants; APIs (.NET, VBScript, Windows PowerShell); Lightweight Directory Access Protocol (LDAP)

Démonstration :schéma Active Directory

• Le schéma agit comme un modèle pour Active Directory en définissant des attributs, tels que : objectSID, sAMAccountName, unicodePwd, member et Description
• Le schéma agit comme un modèle pour Active Directory en définissant les classes d'objets : Utilisateur et Ventes

Unités d'organisation

• Conteneurs : Users et Computers
• Unités d'organisation : des conteneurs qui prennent également en charge la gestion et la configuration des objets à l'aide d'une stratégie de groupe
• Elles créent des unités d'organisation pour : déléguer les autorisations administratives; appliquer la stratégie de groupe

Gestion à base de stratégies

• Active Directory propose un point unique de gestion pour la sécurité et la configuration par des stratégies
• Stratégie de groupe : stratégie de mot de passe et de verrouillage du domaine; stratégie d'audit; configuration
• Appliquée aux utilisateurs ou aux ordinateurs par une étendue d'objet de stratégie de groupe contenant des paramètres de configuration
• Stratégies affinées pour les mots de passe et le verrouillage

Banque de données Active Directory

• %racinesystème%\NTDS\ntds.dit
• Partitions logiques : contexte d'appellation de domaine; schéma; configuration; catalogue global; DNS (partitions d'applications)
• SYSVOL: %racinesystème%\SYSVOL; scripts d'ouverture de session; stratégies

Contrôleurs de domaine

• Les serveurs jouant le rôle AD DS hébergent la base de données Active Directory (NTDS.DIT) et SYSVOL, et se répliquent entre les contrôleurs de domaine
• Service Centre de distribution de clés Kerberos (KDC) : authentification
• Autres services Active Directory
• Pratiques recommandées : disponibilité avec au moins deux par domaine; sécurité avec installation minimale, contrôleurs de domaine en lecture seule

Domaine

• Composé d'un ou plusieurs contrôleurs de domaine
• Tous les contrôleurs de domaine répliquent le contexte d'appellation de domaine
• Le domaine est le contexte dans lequel sont créés les utilisateurs, les groupes et les ordinateurs
• Les « limites de réplication »
• Source d'identité approuvée : tout contrôleur de domaine peut authentifier toute ouverture de session dans le domaine
• Le domaine est l'étendue maximale pour certaines stratégies d'administration (Mot de passe, Verrouillage)

Réplication

• Réplication multimaître : objets et attributs dans la base de données; le contenu de SYSVOL est répliqué
• Plusieurs composants travaillent pour créer une topologie de réplication robuste et efficace, et pour répliquer les modifications granulaires dans Active Directory La partition de configuration de la base de données stocke des informations sur les sites, la topologie du réseau et la réplication

Sites

• Objet Active Directory qui représente une partie bien connectée de votre réseau, associé à des objets de sous-réseau représentant des sous-réseaux IP
• Réplication intrasite/intersites : La réplication au sein d'un site se produit très rapidement (15 à 45 secondes) et la réplication entre sites peut être gérée.
• Localisation des services : ouverture de session sur un contrôleur de domaine de votre site

Arborescence

• Un ou plusieurs domaines dans une même instance d'AD DS qui partagent un espace de noms DNS contigu

Forêt

• Un ensemble d'une ou plusieurs arborescences de domaines Active Directory
• Le premier domaine est le domaine racine de la forêt
• Une seule configuration et un seul schéma répliqués dans tous les contrôleurs de domaine de la forêt
• Une limite de sécurité et de réplication

Catalogue global

• Jeu d'attributs partiel (PAS) ou catalogue global
• Contient tous les objets dans chaque domaine de la forêt et uniquement les attributs sélectionnés
• Un type d'index, peut être consulté depuis tout domaine et très important pour de nombreuses applications

Niveau fonctionnel

• Niveaux fonctionnels de domaine
• Niveaux fonctionnels de forêt
• Nouvelle fonctionnalité qui nécessite que les contrôleurs de domaine exécutent une version particulière de Windows
• Windows 2000
• Windows Server 2003
• Windows Server 2022
• Impossible d'élever le niveau fonctionnel si des contrôleurs de domaine exécutent des versions précédentes de Windows
• Impossible d'ajouter des contrôleurs de domaine exécutant des versions précédentes de Windows après avoir élevé le niveau fonctionnel

Partitions d'applications et DNS

• Active Directory et DNS sont étroitement intégrés
• Relation un à un entre le nom de domaine DNS et l'unité de domaine logique d'Active Directory
• Dépendance totale vis-à-vis du DNS pour localiser les ordinateurs et les services dans le domaine
• Un contrôleur de domaine agissant comme serveur DNS peut stocker les données de la zone dans Active Directory même, dans une partition d'applications

Relations d'approbation

• Étend le concept de magasin d'identités approuvées à un autre domaine
• Le domaine d'approbation approuve les services de magasin d'identités et d'authentification du domaine approuvé
• Un utilisateur approuvé peut s'authentifier auprès du domaine autorisé à approuver et accéder à ses ressources
• Dans une forêt, chaque domaine approuve tous les autres domaines et il est possible d'établir des relations d'approbation avec des domaines externes

Leçon 3 : Installer les Services de domaine Active Directory

• Installation de Windows Server 2022
• Gestionnaire de serveur et configuration à base de rôles de Windows Server 2022
• Préparation de la création d'une nouvelle forêt avec Windows Server 2022
• Installation et configuration d'un contrôleur de domaine

Installation de Windows Server 2022

• Pour démarrer, Démarrer avec le support d'installation (DVD)
• Suivre les instructions et sélectionner le système d'exploitation à installer

Gestionnaire de serveur et configuration à base de rôles Windows Server 2022

• Windows Server® 2022 est d'un encombrement minimal
• Les fonctionnalités sont ajoutées en tant que rôles ou fonctions
• Gestionnaire de serveur : configuration des rôles et des fonctions, et des composants logiciels enfichables administratifs courants pour le serveur

Préparation de la création d'une nouvelle forêt avec Windows Server 2022

• Nom DNS du domaine (contoso.com)
• Nom NetBIOS du domaine (contoso)
• Savoir si la nouvelle forêt devra prendre en charge des contrôleurs de domaine exécutant des versions précédentes de Windows
• Des détails sur la manière dont DNS sera implémenté pour prendre AD DS en charge
• Par défaut : la création d'un contrôleur de domaine ajoute aussi le rôle de serveur DNS
• Configuration IP pour le contrôleur de domaine à IPv4 et, éventuellement, IPv6
• Le nom d'utilisateur et le mot de passe d'un compte dans le groupe Administrateurs du serveur
• Emplacement pour la banque de données (ntds.dit) et SYSVOL
• Par défaut : %racinesystème% (c:\windows)

Installation et configuration d'un contrôleur de domaine

• Installation du rôle Services de domaine Active Directory à l'aide du Gestionnaire de serveur
• Exécution de l'Assistant Installation des Services de domaine Active Directory
• Choix de la configuration de déploiement
• Sélection des fonctionnalités supplémentaires du contrôleur de domaine
• Sélection de l'emplacement de la base de données, des fichiers journaux et du dossier SYSVOL
• Configuration du mot de passe de l'administrateur du mode de restauration des services d'annuaire

Atelier pratique A : Installation d'un contrôleur de domaine AD DS pour créer une forêt à un seul domaine

• Exercice 1 : Exécution des tâches de configuration après l'installation
• Exercice 2 : Installation d'une nouvelle forêt Windows Server 2022 à l'aide de l'interface Windows

Scénario de l'atelier pratique

• Améliorer la gestion des identités et des accès chez Contoso, Ltd.
• La société dispose actuellement d'un serveur dans une configuration de groupe de travail
• Affecter au serveur le rôle de contrôleur de domaine et implémenter une forêt, ainsi qu'un domaine AD DS
• Vous venez d'effectuer l'installation de Windows Server 2022 à partir du DVD d'installation

Récapitulatif

Au terme de cet atelier pratique

• Effectuer des tâches post-installation en nommant un serveur, en configurant le fuseau horaire correct et en définissant une résolution d'affichage d'au moins 1024 x 768 pixels et les informations relatives à son adresse IP
• Configurer une forêt à un domaine nommée contoso.com avec un contrôleur de domaine unique nommé HQDC01

Leçon 4 : Étendre IDA avec des services Active Directory

• Services AD LDS (Active Directory Lightweight Directory Services)
• Services de certificats Active Directory (AD CS)
• Services AD RMS (Active Directory Rights Management Services)
• Services ADFS (Active Directory Federation Services)

Services AD LDS (Active Directory Lightweight Directory Services)

• Version autonome d'Active Directory
• Utilisée pour prendre en charge des applications qui nécessitent un magasin d'annuaires et permet de personnaliser sans impact sur Active Directory en production
• Caractéristiques : un sous-ensemble des fonctionnalités AD DS, qui partagent le même code; partitions de schéma, de configuration et d'applications; réplication; indépendant d'AD DS
• Peuvent utiliser AD DS pour authentifier des entités de sécurité Windows et exécuter plusieurs instances sur un seul serveur

Services de certificats Active Directory (AD CS)

• Étendent le concept d'approbation
• Un certificat émanant d'une autorité de certification (CA) approuvée garantit l'identité et l'approbation peut être étendue au-delà des limites de votre entreprise
• Créent une infrastructure à clé publique (PKI) de confidentialité, d'intégrité, d'authenticité et de non-répudiation
• Utilisations : internes seulement, ou externes; sites Web sécurisés (SSL); réseau privé virtuel (VPN); chiffrement et authentification sans fil; authentification par carte à puce
• L'intégration à AD DS est puissante, mais pas obligatoire

Services AD RMS (Active Directory Rights Management Services)

• Vérifient l'intégrité des informations
• Modèle traditionnel : une ACL détermine l'accès, sans restriction d'utilisation
• AD RMS : s'assure que l'accès est limité et définit l'utilisation
• Exemples : limiter l'accès à certaines personnes; afficher les e-mails et pas les transférer; afficher et imprimer des documents sans modifier ou envoyer par e-mail
• Requiert : AD RMS, IIS, base de données (SQL Server ou base de données interne de Windows), AD DS et applications compatibles RMS

Services ADFS (Active Directory Federation Services)

• Étendent l'autorité d'AD DS pour authentifier les utilisateurs
• << Approbation » traditionnelle : deux domaines Windows, de nombreux ports TCP ouverts dans les pare-feux, « Toute personne » du domaine approuvé est approuvée
• AD FS utilise les technologies des services Web pour implémenter l'approbation : un annuaire AD DS/LDS, peut y avoir Active Directory ou d'autres plateformes, le port 443 pour les transactions sécurisées et chiffrées, ainsi que des règles qui déterminent quels utilisateurs du domaine approuvé sont approuvés
• Utilisations : B2B : partenariat et Authentification unique