Relaciones de confianza
| ||||
Una relación de confianza es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los Controladores de Dominio de otro dominio. Estas relaciones permiten a los usuarios acceder a los recursos de otro dominio, y a los administradores definir los permisos y derechos de usuario para los usuarios del otro dominio. Permite establecer comunicación entre varios controladores de dominio, con el fin de poder administrar desde un solo punto de la red a todos los usuarios y recursos que tengas.
Sumario
Confianzas entre dominios
Una confianza entre dominios es una relación que se establece entre dominios y que permite a los usuarios de un dominio ser autenticados por un controlador de dominio de otro dominio. Las solicitudes de autenticación siguen una ruta de confianza.
Confianza unidireccional
Una confianza unidireccional es una sola relación de confianza, en la que el dominio A confía en el dominio B. Todas las relaciones unidireccionales son intransitivas y todas las intransitivas son unidireccionales. Las solicitudes de autenticación sólo se pueden transmitir desde el dominio que confía al dominio en el que se confía. Esto significa que si el dominio A tiene una confianza unidireccional con el dominio B y éste la tiene con el dominio C, el dominio A no tiene una relación de confianza con el dominio C. Un dominio de Windows 2000 puede establecer una confianza unidireccional con:
- Los dominios de Windows 2000 de un bosque diferente
- Los dominios de Windows NT 4.0
- Los territorios de MIT Kerberos V5. Consulte Autenticación de Kerberos V5.
Debido a que todos los dominios de Windows 2000 de un bosque están vinculados mediante una confianza transitiva, no es posible crear confianzas unidireccionales entre dominios pertenecientes al mismo bosque. Para obtener más información, consulte Confianzas de dominio explícitas.
Confianza bidireccional
Todas las confianzas entre dominios de un bosque son confianzas transitivas bidireccionales. Cuando se crea un nuevo dominio secundario, automáticamente se crea una confianza transitiva bidireccional entre el nuevo dominio secundario y el dominio principal. En una confianza bidireccional, el dominio A confía en el dominio B y el dominio B confía en el A. Esto significa que las solicitudes de autenticación se pueden transmitir entre dos dominios en ambas direcciones. Para crear una confianza bidireccional intransitiva, debe crear dos confianzas unidireccionales entre los dominios implicados. Para obtener más información, consulte Confianzas de dominio explícitas.
Confianza transitiva
Todas las confianzas entre dominios de un bosque son transitivas. Las relaciones de confianza transitiva son siempre bidireccionales. Ambos dominios de la relación confían el uno en el otro. Una relación de confianza transitiva no está limitada por los dos dominios de la relación. Siempre que se crea un nuevo dominio secundario, implícitamente (es decir, automáticamente) se crea una relación de confianza transitiva bidireccional entre el dominio principal y el nuevo dominio secundario. De esta forma, las relaciones de confianza transitivas fluyen hacia arriba a través del árbol de dominios a medida que éste se forma, con lo que se crean relaciones de confianza transitivas entre todos los dominios del árbol de dominios. Cada vez que se crea un árbol de dominios en un bosque, se forma una relación de confianza transitiva bidireccional entre el dominio raíz del bosque y el nuevo dominio (la raíz del nuevo árbol de dominios). Si no se agrega ningún dominio secundario al dominio nuevo, la ruta de confianza está entre este nuevo dominio raíz y el dominio raíz del bosque. Si se agregan dominios secundarios al dominio nuevo, con lo que se crea un árbol de dominios, la confianza fluye hacia arriba a través del árbol de dominios hasta el dominio raíz del árbol de dominios y, de este modo, se extiende la ruta de confianza inicial creada entre la raíz del dominio y el dominio raíz del bosque. Si el nuevo dominio agregado al bosque es un solo dominio raíz, es decir, no tiene dominios secundarios, o un árbol de dominios, la ruta de confianza se extiende desde el dominio raíz del bosque hasta cualquier otro dominio raíz del bosque. De esta forma, las relaciones de confianza transitivas fluyen a través de todos los dominios del bosque. Las solicitudes de autenticación siguen estas rutas de confianza y de este modo las cuentas de cualquier dominio del bosque se pueden autenticar en cualquier otro. Con un solo proceso de inicio de sesión, las cuentas que poseen los permisos adecuados pueden tener acceso a los recursos en cualquier dominio del bosque.
Confianza intransitiva
Una confianza intransitiva está limitada por los dos dominios de la relación y no fluye a cualquier otro dominio del bosque. En la mayor parte de los casos, debe crear las confianzas intransitivas explícitamente. Consulte Confianzas de dominio explícitas.
Fuentes
- http://personal.telefonica.terra.es/web/lmp/Directorio%20Activo/Confianzas%20de%20DA/Relaciones%20de%20confianza.doc
- www.itq.edu.mx
- www.social.technet.microsoft.com
