Descripción de confianzas

Una confianza es una relación entre dominios que hace posible a los usuarios de un dominio autenticarse por medio de un controlador de dominio en el otro dominio.

En el sistema operativo Windows NT, las confianzas se limitan a dos dominios y la relación de confianza es no transitiva y unidireccional. En la siguiente ilustración, la confianza no transitiva y unidireccional se muestra por medio de la flecha que apunta al dominio de confianza.

Todas las confianzas en bosques de Windows 2000 Server, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 son relaciones transitivas y bidireccionales. Por lo tanto, ambos dominios en una relación de confianza son de confianza. Tal como se muestra en la siguiente ilustración, esto significa que si el dominio A confía en el dominio B y el dominio B confía en el dominio C, los usuarios del dominio C pueden tener acceso a los recursos del dominio A (si tienen los permisos adecuados). Únicamente los miembros del grupo Admins. del dominio pueden administrar relaciones de confianza.

Un controlador de dominio que ejecute Windows Server 2008 o Windows Server 2008 R2 autentica a usuarios y aplicaciones que usen uno de estos dos protocolos: el protocolo Kerberos versión 5 (V5) o NTLM. El protocolo Kerberos V5 es el protocolo predeterminado en equipos que ejecutan Windows 2000, Windows XP Professional, Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. Si un equipo en una transacción no es compatible con el protocolo Kerberos V5, usará el protocolo NTLM.

Con el protocolo Kerberos V5, el cliente solicita un vale desde un controlador de dominio en su dominio de cuenta para el servidor del dominio que confía. Este vale lo emite un intermediario en el que confían el cliente y el servidor. El cliente presenta este vale de confianza al servidor del dominio que confía para su autenticación. Para obtener más información, consulte el tema sobre la autenticación Kerberos V5 en https://go.microsoft.com/fwlink/?LinkId=81795 (puede estar en inglés).

Cuando un cliente intenta tener acceso a recursos de un servidor en otro dominio mediante la autenticación NTLM, el servidor que contiene el recurso debe ponerse en contacto con un controlador de dominio en el dominio de cuentas de cliente para comprobar las credenciales de la cuenta.

Los objetos del dominio de confianza (TDO) son objetos que representan cada relación de confianza en un dominio particular. Cada vez que se establece una confianza, se crea un TDO único y se almacena en su dominio (en el contenedor System). Los atributos tales como nombres de dominio recíprocos, tipo y transitividad de confianza se representan en el TDO.

Los TDO de confianzas de bosque almacenan atributos adicionales para identificar todos los espacios de nombres de confianza de su bosque asociado. Entre estos atributos se incluyen nombres de árboles de dominios, sufijos de nombre principal del usuario (UPN), sufijos de nombre principal de servicio (SPN) y espacios de nombres de identificadores de seguridad (SID).

Para obtener más información acerca de las confianzas de dominio, consulte el tema sobre tecnologías de confianza en https://go.microsoft.com/fwlink/?LinkId=92695 (puede estar en inglés). Para obtener más información acerca de las relaciones de confianza, consulte el tema sobre el diseño de una estrategia de autorización de recursos en https://go.microsoft.com/fwlink/?LinkId=92696 (puede estar en inglés).