Configurar una relación de confianza entre dos bosques desde Powershell

Al igual que las relaciones humanas, ocurre con las relaciones de confianza en Windows Server.

La confianza es la base de las relaciónes humanas. Quizás no le damos la importancia debida, pero todas las relaciones que establecemos se basan en la confianza con las personas que nos rodean. Sin confianza no existirían las relaciones de amistad, de pareja, ni las empresas, ni la economía.

Las relaciones de confianza se pueden crear entre los dominios de Active Directory y los bosques de Active Directory. Una confianza le permite mantener una relación entre los dos dominios para garantizar que los usuarios puedan acceder a los recursos en los dominios. Primero que nada hay que aclarar que para que se establezca una Relación de Confianza entre dos Dominios es necesario que ambos acepten dicha relación.

Tipos de confianza de Active Directory

Hay cuatro tipos de confianzas de Active Directory disponibles: confianzas externas, confianzas de reino, confianzas de bosque y confianzas de acceso directo. Cada uno se explica a continuación:

  • Confianza externa (External Trust): creará una confianza externa solo si los recursos se encuentran en un bosque de Active Directory diferente. Una confianza externa es siempre no transitiva y puede ser una confianza unidireccional o bidireccional.
  • Confianza Realm : las confianzas REALM se crean siempre entre el bosque de Active Directory y un directorio Kerberos que no es de Windows, como eDirectory, Unix Directory, etc. La confianza puede ser transitiva y no transitiva y la dirección de la confianza puede ser unidireccional o bidireccional. Si está ejecutando directorios diferentes en su entorno de producción y necesita permitir que los usuarios accedan a los recursos en cualquiera de los directorios, deberá establecer una confianza real.
  • Confianza de bosque : se le pedirá que cree una confianza de bosque si necesita permitir que los recursos se compartan entre los bosques de Active Directory. Los fideicomisos forestales son siempre transitivos y la dirección puede ser unidireccional o bidireccional.
  • Confianza de acceso directo : es posible que desee crear una confianza de acceso directo entre dominios del mismo bosque de Active Directory si necesita mejorar la experiencia de inicio de sesión del usuario. La confianza de acceso directo es siempre transitiva y la dirección puede ser unidireccional o bidireccional.

La confianza transitiva es una relación bidireccional que se crea automáticamente entre los dominios principal y secundario en un bosque de Microsoft Active Directory. Cuando se crea un nuevo dominio, comparte recursos con su dominio principal de forma predeterminada, lo que permite a un usuario autenticado acceder a los recursos tanto en el secundario como en el primario. Todas las confianzas entre dominios en un bosque de Active Directory son transitivas y de doble vía.

Por lo tanto, no es necesario crear una confianza entre dominios del mismo bosque de Active Directory, pero se le pedirá que cree una confianza entre dominios de diferentes bosques de Active Directory si necesita permitir que los usuarios de un dominio accedan a los recursos de otro dominio de un bosque diferente de Active Directory.

En matemáticas, la propiedad transitiva de la igualdad establece que:

si a = b y b = c

entonces a = c

En una relación de confianza transitiva de Active Directory, si el dominio A confía en el dominio B, y el dominio B confía en el dominio C, el dominio A confía en el dominio C.

Autor/a: Peters Jans Biernis-Rohass
Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure
Centro: Tajamar
Año académico: 2018-2019

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.