Relações de confiança

Uma relação de confiança é um relacionamento estabelecido entre domínios, que permite a um controlador de domínio autenticar os usuários de um domínio em outro.

Relações de confiança no Windows NT

No sistema operacional Windows NT 4.0, além de serem limitadas a dois domínios, as relações de confiança são intransitivas e unidirecionais. Na ilustração a seguir, a relação de confiança intransitiva e unidirecional é mostrada pela seta apontando para o domínio confiável.

Direção de um caminho confiável

Relações de confiança nos sistemas operacionais Windows 2000 Server, Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2

Todas as relações de confiança nas florestas do Windows 2000 Server, do Windows Server 2003, do Windows Server 2008 e do Windows Server 2008 R2 são transitivas e bidirecionais. Portanto, os dois domínios de uma relação são confiáveis. Como mostra a ilustração a seguir, isso significa que, se o Domínio A confia no Domínio B e o Domínio B confia no Domínio C, os usuários do Domínio C podem acessar os recursos do Domínio A (quando lhes são atribuídas as permissões apropriadas). Apenas os membros do grupo Admins. do Domínio podem gerenciar relações de confiança.

Relações de confiança transitivas em uma árvore de domínio

Protocolos de relação de confiança

Um controlador de domínio executando o Windows Server 2008 ou o Windows Server 2008 R2 autentica os usuários e aplicativos que usam um destes dois protocolos: o protocolo Kerberos versão 5 (V5) ou o NTLM. O protocolo Kerberos V5 é o padrão para computadores executando o Windows 2000, o Windows XP Professional, o Windows Server 2003, o Windows Server 2008 ou o Windows Server 2008 R2. Se um computador em uma transação não oferecer suporte ao protocolo Kerberos V5, o protocolo NTLM será usado.

Com o protocolo Kerberos V5, o cliente solicita um tíquete de um controlador de domínio em seu domínio de conta para o servidor no domínio confiante. Esse tíquete é emitido por um intermediário confiável para o cliente e o servidor. O cliente apresenta esse tíquete confiável para o servidor no domínio confiante para autenticação. Para obter mais informações, consulte Autenticação Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=81795).

Quando um cliente tenta acessar os recursos de um servidor em outro domínio usando a autenticação NTLM, o servidor que contém o recurso deve entrar em contato com um controlador de domínio no domínio de conta cliente para verificar as credenciais da conta.

Objetos de domínio confiáveis

Os TDOs (objetos de domínio confiáveis) são objetos que representam cada relação de confiança em determinado um domínio. Toda vez que uma relação de confiança é estabelecida, um TDO exclusivo é criado e armazenado em seu domínio (no contêiner Sistema). Os atributos, como transitividade, tipo e nomes de domínio recíprocos da relação de confiança, são representados pelo TDO.

Os TDOs de relações de confiança de floresta armazenam atributos para identificar todos os namespaces a partir de sua floresta parceira. Esses atributos incluem nomes de árvore de domínio, sufixos UPN (nome de usuário principal), sufixos SPN (nome de serviço principal) e namespaces SID (identificador de segurança).

Para obter mais informações sobre relações de confiança de domínio, consulte Tecnologias de relação de confiança (https://go.microsoft.com/fwlink/?LinkId=92695). Para obter mais informações sobre relações de confiança, consulte Criando uma estratégia de autorização de recursos (https://go.microsoft.com/fwlink/?LinkId=92696).

Referências adicionais


Sumário