Direção da relação de confiança

O tipo de relação de confiança e a direção que lhe é atribuída afetam o caminho da relação de confiança usado para autenticação. Um caminho de relação de confiança é uma série de relações de confiança que as solicitações de autenticação devem percorrer entre dois domínios. Antes que um usuário possa acessar um recurso em outro domínio, o sistema de segurança dos controladores de domínio executando o Windows Server 2008 ou o Windows Server 2008 R2 deve determinar se o domínio confiante (o domínio com os recursos que o usuário está tentando acessar) possui uma relação de confiança com o domínio confiável (o domínio de logon do usuário). Para isso, o sistema de segurança calcula o caminho da relação de confiança entre um controlador de domínio no domínio confiante e um controlador de domínio no domínio confiável. Na ilustração a seguir, o caminho da relação de confiança é indicado por uma seta que mostra a direção dessa relação.

Direção de um caminho confiável

Todas as relações de confiança de domínio possuem apenas dois domínios na relação: o domínio confiante e o domínio confiável.

Relação de confiança unidirecional

Uma relação de confiança unidirecional é um caminho de autenticação unidirecional criado entre dois domínios. Isso significa que, em uma relação de confiança unidirecional entre o Domínio A e o Domínio B, os usuários no Domínio A podem acessar os recursos no Domínio B. Entretanto, os usuários no Domínio B podem acessar os recursos no Domínio A. Algumas relações de confiança unidirecionais podem ser intransitivas ou transitivas, dependendo do tipo de relação criado. Para obter mais informações sobre tipos de relação de confiança, consulte Noções básicas sobre os tipos de relação de confiança.

Relação de confiança bidirecional

Todas as relações de confiança de domínio em uma floresta do Windows Server 2008 ou do Windows Server 2008 R2 são transitivas e bidirecionais. Quando um novo domínio filho é criado, uma relação de confiança transitiva bidirecional é automaticamente criada entre o novo domínio filho e o domínio pai. Em uma relação de confiança bidirecional, o Domínio A confia no Domínio B e o Domínio B confia no Domínio A. Isso significa que as solicitações de autenticação podem ser passadas entre os dois domínios, nas duas direções. Algumas relações bidirecionais podem ser intransitivas ou transitivas, dependendo do tipo de relação de confiança criado. Para obter mais informações, consulte Noções básicas sobre os tipos de relação de confiança.

Um domínio do Windows Server 2008 ou do Windows Server 2008 R2 pode estabelecer relações de confiança unidirecionais ou bidirecionais com os seguintes domínios e realms:

  • Domínios do Windows Server 2008 ou do Windows Server 2008 R2 na mesma floresta

  • Domínios do Windows Server 2008 ou do Windows Server 2008 R2 em uma floresta diferente

  • Domínios do Windows Server 2003 na mesma floresta

  • Domínios do Windows Server 2003 em uma floresta diferente

  • Domínios do Windows NT 4.0

  • Realms Kerberos versão 5 (V5)

Para obter mais informações sobre o protocolo Kerberos V5, consulte Autenticação Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699).

Referências adicionais


Sumário