Direcção da fidedignidade

O tipo de fidedignidade e a sua direcção afectam o caminho da fidedignidade utilizado para autenticação. Um caminho de fidedignidade é uma série de relações de fidedignidade que os pedidos de autenticação têm se seguir entre domínios. Antes de um utilizador poder aceder a um recurso de outro domínio, o sistema de segurança dos controladores de domínio que executam o Windows Server 2008 ou o Windows Server 2008 R2 tem de determinar se o domínio de fidedignidade (o domínio que contém o recurso a que o utilizador está a tentar aceder) tem uma relação de fidedignidade com o domínio fidedigno (o domínio de início de sessão do utilizador). Para o determinar, o sistema de segurança calcula o caminho de fidedignidade entre um controlador de domínio do domínio de fidedignidade e um controlador de domínio do domínio fidedigno. Na ilustração seguinte, o caminho de fidedignidade é indicado por uma seta que indica a direcção da fidedignidade.

Direcção do caminho de relação fidedigna

Todas as relações de fidedignidade de domínio têm apenas dois domínios na relação: o domínio de fidedignidade e o domínio fidedigno.

Fidedignidade unidireccional

Uma fidedignidade unidireccional é um caminho de autenticação unidireccional criado entre dois domínios. Isto significa que numa fidedignidade unidireccional entre o Domínio A e o Domínio B os utilizadores do Domínio A podem aceder aos recursos do Domínio B. Contudo, os utilizadores do Domínio B não podem aceder aos recursos do Domínio A. Algumas fidedignidades unidireccionais podem ser fidedignidades transitórias ou não transitórias, conforme o tipo de fidedignidade criado. Para mais informações sobre tipos de fidedignidade, consulte Noções sobre Tipos de Fidedignidade.

Fidedignidade bidireccional

Todas as fidedignidades de domínio numa floresta do Windows Server 2008 ou do Windows Server 2008 R2 são fidedignidades bidireccionais transitórias. Quando é criado um novo domínio subordinado, é automaticamente criada uma fidedignidade transitória bidireccional entre o novo domínio subordinado e o domínio principal. Numa fidedignidade bidireccional, o Domínio A confia no Domínio B e o Domínio B confia no Domínio A. Isto significa que os pedidos de autenticação podem ser passados entre os dois domínios, em ambas as direcções. Algumas relações bilaterais podem ser transitórias ou não transitórias, conforme o tipo de fidedignidade criado. Para mais informações, consulte Noções sobre Tipos de Fidedignidade.

Um domínio do Windows Server 2008 ou do Windows Server 2008 R2 pode estabelecer fidedignidades unidireccionais ou bidireccionais com os seguintes domínios e realms:

  • Domínios do Windows Server 2008 ou do Windows Server 2008 R2 na mesma floresta

  • Domínios do Windows Server 2008 ou do Windows Server 2008 R2 noutra floresta

  • Domínios do Windows Server 2003 na mesma floresta

  • Domínios do Windows Server 2003 noutra floresta

  • Domínios do Windows NT 4.0

  • Realms Kerberos versão 5 (V5)

Para mais informações sobre o protocolo Kerberos V5, consulte autenticação Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699 (pode estar em inglês)).

Referências adicionais


Sumário