Dirección de confianza
El tipo de confianza y su dirección asignada afectan a la ruta de acceso de confianza que se usa para la autenticación. Una ruta de acceso de confianza es una serie de relaciones de confianza que deben seguir las solicitudes de autenticación entre dominios. Antes de que un usuario pueda tener acceso a un recurso en otro dominio, el sistema de seguridad en los controladores de dominio que ejecutan Windows Server 2008 o Windows Server 2008 R2 debe determinar si el dominio que confía (el dominio que contiene el recurso al que el usuario está intentando obtener acceso) tiene una relación con el dominio de confianza (el dominio de inicio de sesión del usuario). Para determinar esto, el sistema de seguridad calcula la ruta de acceso de confianza entre un controlador de dominio en el dominio que confía y un controlador de dominio en el dominio de confianza. En la ilustración siguiente, la ruta de acceso de confianza viene indicada por una flecha que muestra la dirección de la confianza.
Las relaciones de confianza de dominios sólo incluyen dos dominios: el dominio que confía y el dominio de confianza.
Confianza unidireccional
Una confianza unidireccional es una ruta de autenticación unidireccional creada entre dos dominios. Esto significa que en una relación de confianza unidireccional entre el dominio A y el dominio B, los usuarios del dominio A pueden tener acceso a los recursos del dominio B; mientras que los usuarios del dominio B no pueden tener acceso a los recursos del dominio A. Algunas confianzas unidireccionales pueden ser transitivas o no transitivas, dependiendo del tipo de confianza que sea. Para obtener más información acerca de los tipos de confianza, vea Descripción de tipos de confianza.
Confianza bidireccional
Todas las confianzas de dominio en un bosque de Windows Server 2008 o Windows Server 2008 R2 son confianzas transitivas bidireccionales. Cuando se crea un nuevo dominio secundario, se crea automáticamente una confianza transitiva bidireccional entre el nuevo dominio secundario y el dominio primario. En una confianza bidireccional, el dominio A confía en el dominio B y el dominio B confía en el dominio A. Esto significa que las solicitudes de autenticación pueden pasar entre los dos dominios en ambas direcciones. Algunas relaciones bidireccionales pueden ser transitivas o no transitivas, según el tipo de confianza que se cree. Para obtener más información, consulte Descripción de tipos de confianza.
Un dominio de Windows Server 2008 o Windows Server 2008 R2 puede establecer confianzas unidireccionales o bidireccionales con los siguientes dominios y dominios kerberos:
-
Dominios de Windows Server 2008 o Windows Server 2008 R2 en el mismo bosque
-
Dominios de Windows Server 2008 o Windows Server 2008 R2 en un bosque diferente
-
Dominios de Windows Server 2003 en el mismo bosque
-
Dominios de Windows Server 2003 en un bosque diferente
-
Dominios de Windows NT 4.0
-
Dominios kerberos versión 5 (V5)
Para obtener más información acerca del protocolo Kerberos V5, consulte el tema sobre la autenticación Kerberos V5 (