Os administradores de TI têm trabalhado com e em torno do Active Directory desde a introdução da tecnologia no Windows 2000 Server. O Windows 2000 Server foi lançado em 17 de fevereiro de 2000, mas muitos administradores começaram a trabalhar com o Active Directory no final de 1999, quando foi lançado para fabricação (RTM) em 15 de dezembro de 1999.
O que é Trust no AD?
Uma trust é uma relação entre florestas e/ou domínios.
Em uma floresta AD, todos os domínios confiam uns nos outros porque uma two way transitive trust é criada quando cada domínio é adicionado. Isso permite que a autenticação seja transferida de um domínio para qualquer outro domínio na mesma floresta.
Você pode criar trusts outside of the forest também com outros AD DS forests e domínios ou Kerberos v5 realms.
Nos tempos do Windows NT 4.0, não existia uma floresta ou uma estrutura hierárquica. Se você tivesse vários domínios, teria que criar manualmente confianças entre eles. Com o Active Directory, você automaticamente tem confianças transitivas bidirecionais entre domínios na mesma floresta. Voltando ao Windows NT 4.0, você também tinha que usar NetBIOS para estabelecer confianças!
Felizmente, as coisas evoluíram bastante e agora temos funcionalidades adicionais de confiança, especialmente no que diz respeito a garantir confianças com autenticação seletiva e filtragem de SID.
Cada confiança em um domínio é armazenada como um objeto trustedDomain object (TDO) no System container. Assim, para encontrar e listar todas as confianças e tipos de confiança em um domínio chamado contoso.com, execute o comando Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties trustType | where {$_.objectClass –eq “trustedDomain”} | select Name,trustType do Windows PowerShell command.
Existem 4 valores válidos para o atributo trustType. No entanto, apenas o valor 1 (indicando uma confiança com um domínio NT) e o valor 2 (indicando uma confiança com um domínio Active Directory) são comuns. Há muitas outras boas informações sobre confianças armazenadas no objeto trustedDomain.
Em um domínio chamado contoso.com, execute o comando Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties * | where {$_.objectClass –eq “trustedDomain”} | FL Windows PowerShell command para examinar todas as trust properties.
Você também pode visualizar muitas das propriedades principais de uma confiança executando o comando Get-ADTrust –Filter *.
Propriedades de confiança
A tabela abaixo mostra as trust properties e uma descrição de cada propriedade.
Confie na propriedade | Descrição do imóvel |
|---|---|
|
Direção |
Os valores válidos são bidirecional, de entrada ou de saída. Observe que a direção é relativa ao domínio no qual você está executando a consulta. |
|
DisallowTransivity |
Eu acho que isso é um erro de digitação da Microsoft, pois realmente deveria ser “DisallowTransitivity”. Isso pode ser definido como True ou False baseado em se a confiança proíbe a transitividade. |
|
DistinguishedName |
O DN do objeto de domínio confiável. |
|
ForestTransitive |
Isso é definido como Verdadeiro quando uma confiança de floresta é transitiva e Falso quando uma confiança de floresta é não transitiva. |
|
IntraForest |
Isso é definido como Verdadeiro quando há uma confiança entre domínios no mesmo conjunto de domínios ou definido como Falso quando a confiança é entre domínios em conjuntos de domínios diferentes. |
|
IsTreeParent |
Os valores válidos são True e False. |
|
IsTreeRoot |
|
|
Nome |
O nome do domínio que faz parte da confiança, não o domínio onde a consulta é executada. |
|
ObjectClass |
Isso está definido como trustedDomain para confianças. |
|
ObjectGUID |
Identificador único global para a confiança. Um exemplo é de207451-51ed-44cd-4248-85ad9fcb2d50. |
|
SelectiveAuthentication |
Defina como Verdadeiro se a confiança estiver configurada para autenticação seletiva ou Falso se não estiver. |
|
SIDFilteringForestAware |
Defina como Verdadeiro se uma confiança de floresta estiver configurada para autenticação seletiva |
|
SIDFilteringQuarantined |
Defina como Verdadeiro quando o filtro de SID com quarentena é usado para uma confiança. Usado apenas para confianças externas. |
|
Fonte |
Defina para o DN da raiz de confiança. Em uma confiança de floresta, o DN do domínio raiz da floresta é a fonte. |
|
Alvo |
Defina para o nome de domínio do outro lado da confiança. |
|
TGTDelegation |
Defina como Verdadeiro se a delegação completa do Kerberos estiver habilitada nas confianças de floresta de saída. O padrão é Falso. |
|
TrustAttributes |
Defina para um valor numérico que indica a configuração de confiança. Por exemplo |
|
TrustedPolicy |
Não documentado |
|
Política de Confiança |
Não documentado |
|
TrustType |
Defina como Uplevel para confianças com florestas e domínios do Active Directory, DownLevel para confianças com domínios anteriores ao Active Directory como domínios NT 4, Kerberos realm para confianças com reinos Unix/Linux. |
|
UplevelOnly |
Defina como Verdadeiro se apenas sistemas operacionais Windows 2000 e posteriores puderem usar o link de confiança. |
|
UsesAESKeys |
Defina como Verdadeiro para confianças de reino que usam chaves de criptografia AES. |
|
Utiliza criptografia RC4 |
Defina como Verdadeiro para confianças de reino que usam chaves de criptografia RC4. |
Do ponto de vista da escalabilidade, existem algumas coisas sobre confianças que você deve estar ciente:
- Número máximo de confianças para autenticação Kerberos.
Se um cliente em um domínio confiável tenta acessar um recurso em um domínio que confia, o cliente não pode se autenticar se o caminho da verdade tiver mais de 10 trust links. Em ambientes com um grande número de confianças e caminhos de confiança longos, você deve implementar atalhos de confiança para melhorar o desempenho e garantir a funcionalidade de autenticação Kerberos.
- O desempenho se deteriora após 2.400 confianças.
Em ambientes realmente grandes e complexos, você pode ter um número enorme de confianças. Depois de atingir 2,400 trusts, quaisquer confianças adicionais adicionadas ao seu ambiente podem impactar significativamente o desempenho sobre as confianças, especialmente relacionado à autenticação.
Mais informações sobre os fundamentos do Active Directory você encontrará em nosso AD tutorial for begginners.
Compartilhar em
Saiba Mais
Sobre o autor
Brian Svidergol
TI
Especialista em infraestrutura Microsoft e soluções baseadas na nuvem construídas em torno do Windows, Active Directory, Azure, Microsoft Exchange, System Center, virtualização e MDOP. Além de escrever livros, Brian produz conteúdo de treinamento, white papers e é revisor técnico em um grande número de livros e publicações.
Saiba mais sobre este assunto
Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade
Exemplo de Análise de Risco: Como Avaliar Riscos
O Triângulo da CIA e Sua Aplicação no Mundo Real
O que é Gerenciamento de Registros Eletrônicos?
Análise de Risco Quantitativa: Expectativa de Perda Anual