Descripción de la transitividad de confianza

Transitividad de confianza

La transitividad determina si una confianza se puede extender fuera de los dos dominios entre los que se formó la confianza. Puede usar una confianza transitiva para extender las relaciones de confianza a otros dominios. Puede usar una confianza no transitiva para denegar relaciones de confianza con otros dominios.

Confianza transitiva

Cada vez que crea un nuevo dominio en un bosque, se crea automáticamente una relación de confianza transitiva bidireccional entre el nuevo dominio y su dominio primario. Si se agregan dominios secundarios al nuevo dominio, la ruta de acceso de confianza fluye en dirección ascendente a través de la jerarquía de dominios, extendiendo la ruta de acceso de confianza inicial creada entre el nuevo dominio y su dominio primario.

Las relaciones de confianza transitivas fluyen en dirección ascendente a través de un árbol de dominios tal como está formado, creando confianzas transitivas entre todos los dominios del árbol de dominios.

Las solicitudes de autenticación siguen estas rutas de acceso de confianzas. Por lo tanto, las cuentas de cualquier dominio del bosque se pueden autenticar en cualquier otro dominio del mismo bosque. Con un proceso de inicio de sesión único, las cuentas con los permisos adecuados pueden tener acceso a los recursos de cualquier dominio del bosque.

Además de las confianzas transitivas predeterminadas que se establecen en un bosque de Windows Server 2008 o Windows Server 2008 R2, puede crear manualmente, mediante el Asistente para nueva confianza, las confianzas transitivas siguientes:

Confianza directa: una confianza transitiva entre un dominio en el mismo bosque o árbol de dominios que abrevia la ruta de acceso de confianza en un bosque o árbol de dominios grande y complejo.
Confianza de bosque: una confianza transitiva entre un dominio raíz del bosque y un segundo dominio raíz del bosque.
Confianza de dominio kerberos: una confianza transitiva entre un dominio de Active Directory y un dominio Kerberos V5. Para obtener más información acerca de los dominios Kerberos V5, consulte el tema sobre autenticación Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=85494) (puede estar en inglés).

La siguiente ilustración muestra una relación de confianza transitiva bidireccional entre el árbol Dominio A y el árbol Dominio 1. Todos los dominios del árbol Dominio A y todos los dominios del árbol Dominio 1 tienen relaciones de confianza transitivas de manera predeterminada. Como resultado, los usuarios del árbol Dominio A pueden tener acceso a los recursos de los dominios en el árbol Dominio 1, y los usuarios del árbol Dominio 1 pueden tener acceso a los recursos del árbol Dominio A cuando se asignen los permisos adecuados en el recurso.

Una ruta de confianza transitiva bidireccional conecta los dominios

Para obtener más información acerca de los tipos de confianza, vea Descripción de tipos de confianza.

Confianza no transitiva

Una confianza no transitiva está restringida a los dos dominios de la relación de confianza. No se extiende a ningún otro dominio del bosque. Una confianza no transitiva puede ser bidireccional o unidireccional. Las confianzas no transitivas son unidireccionales de manera predeterminada, aunque puede crear también una relación bidireccional mediante la creación de dos confianzas unidireccionales.

En resumen, las confianzas de dominio no transitivas son la única forma posible de relación de confianza entre los elementos siguientes:

Un dominio de Windows Server 2008 o Windows Server 2008 R2, y un dominio de Windows NT
Un dominio de Windows Server 2008 o Windows Server 2008 R2 de un bosque y un dominio de otro bosque (cuando los bosques no están unidos por una confianza de bosque)

Puede usar el Asistente para nueva confianza para crear manualmente las siguientes confianzas no transitivas:

Confianza externa: una confianza no transitiva entre un dominio de Windows Server 2008 o Windows Server 2008 R2, y un dominio de Windows NT, o un dominio de Windows 2000, Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 de otro bosque.
Confianza de dominio kerberos: una confianza no transitiva entre un dominio de Active Directory y un dominio Kerberos de versión 5 (V5). Para obtener más información acerca de los dominios Kerberos V5, consulte el tema sobre autenticación Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699) (puede estar en inglés).