Las confianzas de Active Directory se pueden crear entre dominios de Active Directory y bosques de Active Directory. Una confianza le permite mantener una relación entre los dos dominios para garantizar que los usuarios puedan acceder a los recursos de los dominios. Todas las confianzas entre dominios de un bosque de Active Directory son confianzas transitivas y bidireccionales. Por lo tanto, no es necesario crear una confianza entre dominios del mismo bosque de Active Directory, pero deberá crear una confianza entre dominios de diferentes bosques de Active Directory si necesita permitir que los usuarios de un dominio accedan a recursos de otro dominio en un bosque de Active Directory diferente. En este artículo se explican los tipos de confianza disponibles en Windows Server 2016 y cómo administrarlos mediante las herramientas integradas que se envían al instalar Active Directory en un equipo con Windows Server 2016.
Tipos de confianzas de Active Directory
Hay cuatro tipos de confianzas de Active Directory disponibles: confianzas externas, confianzas de reino, confianzas de bosque y confianzas de acceso directo. Cada uno se explica a continuación:
- Confianza externa: Creará una confianza externa solo si los recursos se encuentran en un bosque de Active Directory diferente. Un fideicomiso externo siempre es no transitivo y puede ser un fideicomiso de una o dos vías.
- Confianza de dominio: Las confianzas de dominio siempre se crean entre el bosque de Active Directory y un directorio Kerberos que no es de Windows, como eDirectory, Unix, etc. La confianza puede ser transitiva y no transitiva y la dirección de la confianza puede ser de un solo sentido o bidireccional. Si está ejecutando diferentes directorios en su entorno de producción y necesita permitir que los usuarios accedan a los recursos de cualquiera de los directorios, deberá establecer una confianza de dominio.
- Confianza de bosque: Se le pedirá que cree una confianza de bosque si necesita permitir que se compartan recursos entre bosques de Active Directory. Los fideicomisos forestales siempre son transitivos y la dirección puede ser de un solo sentido o bidireccional.
- Confianza de acceso directo: Es posible que desee crear una confianza de acceso directo entre dominios del mismo bosque de Active Directory si necesita mejorar la experiencia de inicio de sesión del usuario. La confianza de acceso directo siempre es transitiva y la dirección puede ser de un solo sentido o bidireccional.
Puntos importantes sobre las confianzas de Active Directory
Al crear confianzas de Active Directory, tome nota de los siguientes puntos:
- Debe tener permisos suficientes para realizar la operación de creación de confianza. Como mínimo, se le pedirá que forme parte del grupo de seguridad de administradores de dominio o administradores de empresa o que se le hayan concedido los permisos necesarios para crear confianzas.
- Como parte de la operación de creación de confianza, se le pedirá que verifique la confianza entre dos destinos. La verificación se puede realizar mediante el complemento Dominios y confianzas de Active Directory o la herramienta de línea de comandos Netdom.
- Al crear confianzas externas o de bosque, puede seleccionar el Alcance de la autenticación para los usuarios. La autenticación selectiva le permite restringir el acceso solo a aquellas identidades de un bosque de Active Directory de confianza a las que se han otorgado permisos para los equipos de recursos en el bosque de Active Directory de confianza. El escenario de acceso restringido se logra mediante el uso de la función de autenticación selectiva, que solo se aplica a las confianzas externas y de bosque.
Cómo crear una confianza
Puede usar el complemento Dominios y confianzas de Active Directory o la herramienta de línea de comandos Netdom para crear las confianzas explicadas anteriormente. Por ejemplo, para crear una confianza externa mediante el complemento Dominios y confianzas de Active Directory, siga los pasos siguientes:
- Escriba Dominio.msc en la barra de búsqueda en el Menú Inicio.
- Haga clic con el botón derecho en el nodo de dominio y, a continuación, haga clic en la acción Propiedades.
- En la pestaña Confianzas, haga clic en la Nueva confianza y, a continuación, haga clic en Siguiente para mostrar los pasos.
- En el campo Nombre de confianza, escriba el nombre DNS del dominio y, a continuación, haga clic en el botón Siguiente.
- En el menú desplegable Tipo de confianza, seleccione el tipo de confianza que desea crear. Ya que estamos creando una confianza externa, seleccione Confianza externa y luego haga clic en el botón Siguiente.
- En la página donde dice «Dirección de la confianza», selecciona dirección y, a continuación, sigue los pasos que aparecen en pantalla para seguir creando la confianza.
Para crear una confianza externa utilizando la herramienta de línea de comandos Netdom, ejecute este comando:
Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add
<TrustingDomain> en el comando de arriba es el nombre de dominio DNS del dominio que confía y <TrustedDomain> es el nombre de dominio DNS del dominio que será de confianza en la confianza.
Verificación de confianzas
Una vez que haya creado confianzas, puede verificarlas mediante el complemento Dominios y confianzas de Active Directory o la herramienta de línea de comandos Netdom, pero es mejor verificar las confianzas mediante la herramienta de línea de comandos Netdom. Todo lo que necesita hacer es especificar los nombres de dominio DNS de los dominios de confianza y de confianza y luego agregar el interruptor «/Verificar» como se muestra en el comando a continuación:
Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify
Aunque es fácil crear confianzas utilizando los Dominios y Confianzas de Active Directory sanp-in, cuando se trata de verificar la confianza, usar la utilidad de línea de comandos Netdom tiene sentido, ya que le permite incluir el comando de verificación en un archivo por lotes y ejecutarlo la confianza está en su lugar.Crédito de la foto: Wikimedia