Los administradores de TI han estado trabajando con y alrededor de Active Directory desde la introducción de la tecnología en Windows 2000 Server. Windows 2000 Server se lanzó el 17 de febrero de 2000, pero muchos administradores comenzaron a trabajar con Active Directory a finales de 1999 cuando se lanzó para su fabricación (RTM) el 15 de diciembre de 1999.
¿Qué es Trust in AD?
Una trust es una relación entre bosques y/o dominios.
En un bosque de AD, todos los dominios se fían entre sí porque se crea una two way transitive trust al añadir cada dominio. Esto permite que la autenticación se transmita de un dominio a cualquier otro dominio en el mismo bosque.
Puede crear confianzas fuera del bosque también con otros bosques y dominios de AD DS o reinos Kerberos v5.
En los tiempos de Windows NT 4.0, no existía un bosque o una estructura jerárquica. Si tenías varios dominios, tenías que crear confianzas manualmente entre ellos. Con Active Directory, automáticamente tienes confianzas transitivas bidireccionales entre dominios en el mismo bosque. ¡Con Windows NT 4.0, también tenías que usar NetBIOS para establecer confianzas!
Afortunadamente, las cosas han avanzado mucho y ahora tenemos funcionalidades adicionales de confianza, especialmente en lo que respecta a securing trusts con autenticación selectiva y filtrado de SID.
Cada confianza en un dominio se almacena como un objeto trustedDomain object (TDO) en el contenedor System container. Por lo tanto, para encontrar y listar todas las confianzas y tipos de confianza en un dominio llamado contoso.com, ejecute el comando de Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties trustType | where {$_.objectClass –eq “trustedDomain”} | select Name,trustType Windows PowerShell command.
Hay 4 valores válidos para el atributo trustType. Sin embargo, solo el valor 1 (que indica una confianza con un dominio NT) y el valor 2 (que indica una confianza con un dominio de Active Directory) son comunes. Hay mucha otra información útil sobre las confianzas almacenada en el objeto trustedDomain.
En un dominio llamado contoso.com, ejecute el comando de Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties * | where {$_.objectClass –eq “trustedDomain”} | FL Windows PowerShell para ver todas las propiedades de confianza.
También puede ver muchas de las propiedades principales de una confianza ejecutando el comando Get-ADTrust –Filter *.
Propiedades de confianza
La tabla a continuación muestra las trust properties y una descripción de cada propiedad.
Propiedad fiduciaria | Descripción de la propiedad |
|---|---|
|
Dirección |
Los valores válidos son bidireccional, entrante o saliente. Tenga en cuenta que la dirección es relativa al dominio en el que está ejecutando la consulta. |
|
DisallowTransivity |
Creo que esto es un error tipográfico de Microsoft ya que realmente debería ser “DisallowTransitivity”. Esto se puede establecer en Verdadero o Falso dependiendo de si la confianza prohíbe la transitividad. |
|
DistinguishedName |
El DN del objeto de dominio de confianza. |
|
ForestTransitive |
Esto se establece en True cuando una confianza de bosque es transitiva y False cuando una confianza de bosque no es transitiva. |
|
IntraForest |
Esto se establece en True cuando hay una confianza entre dominios en el mismo bosque o se establece en False cuando la confianza es entre dominios en diferentes bosques. |
|
IsTreeParent |
Los valores válidos son True y False. |
|
IsTreeRoot |
|
|
Nombre |
El nombre del dominio que forma parte de la confianza, no el dominio donde se ejecuta la consulta. |
|
ObjectClass |
Esto se establece en trustedDomain para confianzas. |
|
ObjectGUID |
Identificador único global para la confianza. Un ejemplo es de207451-51ed-44cd-4248-85ad9fcb2d50. |
|
SelectiveAuthentication |
Establezca en Verdadero si la confianza está configurada para autenticación selectiva o Falso si no lo está. |
|
SIDFilteringForestAware |
Establecer en Verdadero si se ha configurado una confianza de bosque para autenticación selectiva |
|
SIDFilteringQuarantined |
Establecer en Verdadero cuando el filtrado de SID con cuarentena se utiliza para una confianza. Se utiliza solo para confianzas externas. |
|
Fuente |
Establecido en el DN de la raíz de confianza. En una confianza de bosque, el DN del dominio raíz del bosque es la fuente. |
|
Objetivo |
Establecido en el nombre de dominio del otro lado de la confianza. |
|
TGTDelegation |
Establezca como Verdadero si la delegación completa de Kerberos está habilitada en las confianzas de bosque salientes. El valor predeterminado es Falso. |
|
TrustAttributes |
Establecido en un valor numérico que indica la configuración de confianza. Por ejemplo |
|
TrustedPolicy |
Indocumentado |
|
TrustingPolicy |
Indocumentado |
|
TrustType |
Establezca Uplevel para confianzas con bosques y dominios de Active Directory, DownLevel para confianzas con dominios anteriores a Active Directory como dominios NT 4, Kerberos realm para confianzas con reinos Unix/Linux. |
|
UplevelOnly |
Establezca en Verdadero si solo los sistemas operativos Windows 2000 y posteriores pueden usar el enlace de confianza. |
|
Utiliza AES Keys |
Establezca como Verdadero para las confianzas de dominio que utilizan claves de cifrado AES. |
|
Utiliza cifrado RC4 |
Establezca en Verdadero para las confianzas de dominio que utilizan claves de cifrado RC4. |
Desde la perspectiva de la escalabilidad, hay un par de cosas sobre las confianzas que usted debe tener en cuenta:
- Número máximo de confianzas para la autenticación Kerberos.
Si un cliente en un dominio de confianza intenta acceder a un recurso en un dominio que confía, el cliente no puede autenticarse si la ruta de confianza tiene más de 10 trust links. En entornos con un gran número de confianzas y rutas de confianza largas, debería implementar confianzas directas para mejorar el rendimiento y asegurar la funcionalidad de autenticación Kerberos.
- El rendimiento se deteriora después de 2,400 trusts.
En entornos realmente grandes y complejos, puede tener un número enorme de confianzas. Después de alcanzar 2,400 trusts, cualquier confianza adicional agregada a su entorno podría impactar significativamente en el rendimiento sobre las confianzas, especialmente en relación con la autenticación.
Más información sobre los fundamentos de Active Directory la encontrarás en nuestro AD tutorial for begginners.
Compartir en
Aprende más
Acerca del autor
Brian Svidergol
TI
Experto en infraestructura de Microsoft y soluciones basadas en la nube alrededor de Windows, Active Directory, Azure, Microsoft Exchange, System Center, virtualización y MDOP. Además de escribir libros, Brian crea contenido de formación, documentos técnicos y es revisor técnico en un gran número de libros y publicaciones.
Aprende más sobre este tema
Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad
Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos
El Triángulo de la CIA y su Aplicación en el Mundo Real
¿Qué es la gestión de registros electrónicos?
Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual