Fidedignidades
Uma fidedignidade é uma relação que o utilizador estabelece entre domínios, que torna possível que os utilizadores de um domínio sejam autenticados por um controlador de domínio no outro domínio.
Fidedignidades no Windows NT
No sistema operativo Windows NT 4.0, as fidedignidades limitam-se a dois domínios; a relação de fidedignidade é não transitória e unidireccional. Na ilustração seguinte, a fidedignidade não transitória unidireccional é mostrada pela seta direita que aponta para o domínio fidedigno.
Fidedignidades nos sistemas operativos Windows 2000 Server, Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2
Todas as fidedignidades em florestas do Windows 2000 Server, Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 são fidedignidades transitórias bidireccionais. Assim, ambos os domínios de uma relação de fidedignidade são fidedignos. Como mostra a ilustração seguinte, isto significa que se o Domínio A confiar no Domínio B e o Domínio B confiar no Domínio C, os utilizadores do Domínio C podem aceder aos recursos do Domínio A (quando lhes forem atribuídas as permissões correctas). Apenas os membros do grupo Admins do Domínio podem gerir relações de fidedignidade.
Protocolos de fidedignidade
Um controlador de domínio com o Windows Server 2008 ou o Windows Server 2008 R2 autentica os utilizadores e aplicações utilizando um de dois protocolos: o protocolo Kerberos versão 5 (V5) ou NTLM. O protocolo Kerberos V5 é o protocolo predefinido para computadores com o Windows 2000, Windows XP Professional, o Windows Server 2003, Windows Server 2008 ou o Windows Server 2008 R2. Numa transacção, se algum computador não suportar o protocolo Kerberos V5, será utilizado o protocolo NTLM.
Com o protocolo Kerberos V5, o cliente solicita um recibo de um controlador de domínio no respectivo domínio de conta para o servidor do domínio fidedigno. Este recibo é emitido por um intermediário considerado fidedigno pelo cliente e pelo servidor. O cliente apresenta este recibo fidedigno ao servidor do domínio fidedigno para autenticação. Para mais informações, consulte a secção sobre a autenticação Kerberos V5 (
Quando um cliente tenta aceder a recursos num servidor de outro domínio utilizando autenticação NTLM, o servidor que contém o recurso tem de contactar um controlador de domínio no domínio da conta do cliente para verificar as credenciais da conta.
Objectos de domínio fidedignos
Objectos de domínio fidedignos (TDOs) são objectos que representam cada relação de fidedignidade num domínio específico. Cada vez que uma fidedignidade é estabelecida, é criado um TDO exclusivo que é armazenado no respectivo domínio (no contentor Sistema). Atributos como a transitoriedade, tipo e nomes de domínio recíprocos da fidedignidade encontram-se representados no TDO.
Os TDOs de fidedignidade de floresta armazenam atributos adicionais para identificar todos os espaços de nomes fidedignos da respectiva floresta do parceiro. Estes atributos incluem nomes de árvores de domínio, sufixos de nome principal de utilizador (UPN), sufixos de nome do principal do serviço (SPN) e espaços de nomes de identificador de segurança (SID).
Para mais informações sobre fidedignidades de domínio, consulte a secção sobre tecnologias de fidedignidade (