Noções sobre Transitoriedade de Fidedignidades

Transitoriedade de fidedignidade

A transitoriedade determina se uma fidedignidade pode ser expandida para fora dos dois domínios entre os quais foi formada a fidedignidade. Pode utilizar uma fidedignidade transitória para expandir as relações de fidedignidade para outros domínios. Pode utilizar uma fidedignidade não transitória para negar relações de fidedignidade com outros domínios.

Fidedignidade transitória

Sempre que cria um novo domínio numa floresta, uma relação de fidedignidade transitória bidireccional é automaticamente criada entre o novo domínio e o respectivo domínio principal. Se os domínios subordinados forem adicionados a um novo domínio, o caminho de fidedignidade é percorrido de forma ascendente através da hierarquia de domínios, expandindo o caminho de fidedignidade inicial criado entre o novo domínio e o respectivo domínio principal.

As relações de fidedignidade transitória deslocam-se de forma ascendente através de uma árvore de domínios, tal como está formada, criando fidedignidades transitórias entre todos os domínios da árvore de domínios.

Os pedidos de autenticação seguem estes caminhos de fidedignidade. Deste modo, as contas de qualquer domínio da floresta podem ser autenticadas em qualquer outro domínio da floresta. Com um processo de início de sessão único, as contas com as permissões adequadas podem aceder a recursos em qualquer domínio da floresta.

Além das fidedignidades transitórias predefinidas que se encontram estabelecidas numa floresta do Windows Server 2008 ou do Windows Server 2008 R2, pode criar manualmente as seguintes fidedignidades transitórias utilizando o Assistente de Nova Fidedignidade:

Fidedignidade de atalho: Uma fidedignidade transitória entre um domínio na mesma árvore ou floresta de domínios, que encurta o caminho de fidedignidade numa árvore ou floresta complexa e de grande dimensão.
Fidedignidade de floresta: Uma fidedignidade transitória entre um domínio raiz de floresta e um segundo domínio raiz de floresta.
Fidedignidade de realm: Uma fidedignidade transitória entre um domínio do Active Directory e um realm Kerberos V5. Para mais informações sobre realms Kerberos V5, consulte a autenticação Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699 (pode estar em inglês)).

A ilustração que se segue apresenta uma relação de fidedignidade transitória bidireccional entre a árvore do Domínio A e a árvore do Domínio 1. Todos os domínios na árvore do Domínio A e todos os domínios da árvore de Domínio 1 têm relações de fidedignidade transitórias por predefinição. Como resultado, os utilizadores na árvore do Domínio A podem aceder a recursos da árvore do Domínio 1 e os utilizadores na árvore do Domínio 1 podem aceder a recursos da árvore do Domínio A, quando as permissões adequadas se encontram atribuídas no recurso.

Um caminho de relação fidedigna transitivo de duas vias a ligar os domínios

Para mais informações sobre tipos de fidedignidade, consulte Noções sobre Tipos de Fidedignidade.

Fidedignidade não transitória

Uma fidedignidade não transitória está restringida aos dois domínios da relação de fidedignidade. Não percorre outros domínios na floresta. Uma fidedignidade não transitória pode ser uma fidedignidade bidireccional ou uma fidedignidade unidireccional. As fidedignidades não transitórias são unidireccionais por predefinição, apesar de também ser possível criar uma relação bidireccional através da criação de duas fidedignidades unidireccionais.

Em resumo, as fidedignidades de domínios não transitórias são a única forma de relação de fidedignidade possível entre:

Um domínio do Windows Server 2008 ou do Windows Server 2008 R2 e um domínio do Windows NT
Um domínio do Windows Server 2008 ou do Windows Server 2008 R2 numa floresta e um domínio noutra floresta (quando as florestas não estiverem associadas por uma fidedignidade de floresta)

Pode utilizar o Assistente de Nova Fidedignidade para criar manualmente as seguintes fidedignidades não transitórias:

Fidedignidade externa: Uma fidedignidade não transitória entre um domínio do Windows Server 2008 ou do Windows Server 2008 R2 e um domínio do Windows NT ou um domínio do Windows 2000, um domínio do Windows Server 2003, um domínio do Windows Server 2008 ou um domínio do Windows Server 2008 R2 noutra floresta.
Fidedignidade de realm: Uma fidedignidade não transitória entre um domínio do Active Directory e um realm Kerberos versão 5 (V5). Para mais informações sobre realms Kerberos V5, consulte a autenticação Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699 (pode estar em inglês)).