Noções básicas sobre a transitividade da relação de confiança

Transitividade da relação de confiança

A transitividade determina se uma relação de confiança pode ser estendida para fora dos dois domínios entre os quais ela foi formada. É possível usar uma relação de confiança transitiva para estender relações de confiança com outros domínios. Você pode usar uma relação de confiança intransitiva para negar relações de confiança com outros domínios.

Relação de confiança transitiva

Toda vez que você criar um novo domínio em uma floresta, uma relação de confiança transitiva bidirecional é automaticamente criada entre o novo domínio e seu domínio pai. Se domínios filho forem adicionados ao novo domínio, o caminho da relação de confiança seguirá em direção ao topo da hierarquia de domínio, estendendo o caminho da relação de confiança inicial que é criado entre o novo domínio e seu domínio pai.

As relações de confiança transitivas seguem em direção ao topo de uma árvore de domínio formada, criando esse tipo de relação entre todos os domínios da árvore.

As solicitações de autenticação seguem esses caminhos de relação de confiança. Por isso, as contas de qualquer domínio da floresta podem ser autenticadas em outro domínio dessa floresta. Com um processo de logon simples, as contas com as permissões apropriadas podem acessar os recursos em qualquer domínio da floresta.

Além das relações de confiança transitivas padrão estabelecidas em uma floreta do Windows Server 2008 ou do Windows Server 2008 R2, usando o Assistente de Nova Relação de Confiança, você pode criar manualmente as seguintes relações de confiança transitivas:

Atalho de relação de confiança: uma relação de confiança transitiva entre um domínio na mesma árvore ou floresta de domínio que encurta o caminho da relação de confiança em uma árvore ou floresta de domínio grande ou complexa.
Relação de confiança da floresta: uma relação de confiança transitiva entre dois domínios raiz de floresta.
Relação de confiança de realm: uma relação de confiança transitiva entre um domínio Active Directory e um realm Kerberos V5. Para obter mais informações sobre os realms Kerberos V5, consulte a autenticação Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699).

A ilustração a seguir mostra uma relação de confiança transitiva entre a árvore do Domínio A e a árvore do Domínio 1. Todos os domínios na árvore do Domínio A e na árvore do Domínio 1 possuem relações de confiança transitivas por padrão. Consequentemente, os usuários da árvore do Domínio A podem acessar os recursos nos domínios da árvore do Domínio 1, e vice-versa, quando as permissões apropriadas são atribuídas aos recursos.

Um caminho confiável bidirecional transitivo conecta os domínios

Para obter mais informações sobre tipos de relação de confiança, consulte Noções básicas sobre os tipos de relação de confiança.

Relação de confiança intransitiva

Uma relação de confiança intransitiva é restrita a dois domínios da relação de confiança. Ela não segue na direção de nenhum outro domínio da floresta. Além disso, ela pode ser unidirecional ou bidirecional. As relações de confiança intransitivas são unidirecionais por padrão, embora também seja possível criar uma relação bidirecional durante a criação de relações de confiança unidirecionais.

Em resumo, as relações de confiança de domínio intransitivas são a única forma de relação de confiança possível entre:

Um domínio do Windows Server 2008 ou do Windows Server 2008 R2 e um domínio do Windows NT
Um domínio do Windows Server 2008 ou do Windows Server 2008 R2 em uma floresta e um domínio em outra floresta (quando as florestas não são associadas por uma relação de confiança da floresta)

Você pode usar o Assistente de Nova Relação de Confiança para criar manualmente as seguintes relações de confiança intransitivas:

Relação de confiança externa: uma relação de confiança intransitiva entre um domínio do Windows Server 2008 ou do Windows Server 2008 R2 e um domínio do Windows NT ou do Windows 2000, um domínio do Windows Server 2003, do Windows Server 2008 ou do Windows Server 2008 R2 em outra floresta.
Relação de confiança de realm: uma relação de confiança intransitiva entre um domínio Active Directory e um realm Kerberos versão 5 (V5). Para obter mais informações sobre os realms Kerberos V5, consulte a autenticação Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699).