Windows Server 2003 Cross-Tree Trust Relationship

Para acceder a los recursos en diferentes bosques, los administradores del sistema deben configurar manualmente las relaciones de confianza. Windows 2000 tiene la capacidad de configurar la confianza no transitiva unidireccional entre dominios en bosques diferentes. Debe configurar sus relaciones de confianza correspondientes entre cada dominio en un bosque diferente. Para una relación de confianza bidireccional, debe configurar manualmente la otra mitad de la confianza.

Windows Server 2003 facilita la configuración de las relaciones de confianza entre bosques. Este artículo en Informit examina los problemas relacionados con las relaciones de confianza. En resumen, en un bosque que se ejecuta en el nivel funcional del bosque de Windows Server 2003, puede configurar una relación de confianza transitiva bidireccional en todos los dominios asociados con él. Si se trata de un bosque de otros niveles funcionales, debe configurar la confianza explícita como lo haría en Windows 2000.

Windows Server 2003 presenta la siguiente confianza centralizada entre bosques:

. Confianza externa: esta confianza unidireccional, como en Windows 2000, es una relación de confianza única establecida entre dominios en bosques diferentes. Se pueden ejecutar en cualquier nivel funcional forestal. Esta confianza se puede usar si solo desea compartir recursos entre dos dominios específicos en bosques diferentes. Esta relación de confianza también se puede usar entre los dominios de Active Directory y los dominios de Windows NT 4.0.

. Fideicomiso forestal: como se mencionó anteriormente, estos fideicomisos incluyen una relación de confianza completa entre todos los dominios en el bosque relevante y, por lo tanto, pueden compartir estos recursos. Esta relación de confianza puede ser unidireccional o bidireccional. Ambos árboles deben ejecutarse en el nivel funcional del bosque de Windows Server 2003. La confianza del bosque tiene los siguientes puntos:

1. Reduzca la cantidad de confianza externa requerida para compartir recursos y simplifique la administración de recursos.

2. UPN tiene una gama más amplia de autenticación, y los administradores del sistema pueden separar las autorizaciones de colaboración de los administradores en otros bosques.

3. La replicación de Active Directory para cada bosque es separada. Los cambios de configuración en el bosque, como agregar nuevos dominios o modificar patrones, solo afectan a los bosques en los que están activos, sin afectar a otros bosques con confianza.

4. Proporcionar datos de autorización más confiables. Los administradores pueden aprovechar los protocolos de autenticación Kerberos y NTLM cuando pasan datos de autorización entre los árboles.

. Realm Domain Trust: se trata de una confianza no transitiva unidireccional establecida entre el dominio de Active Directory y el dominio Kerberos V5 en los sistemas operativos Unix y MIT.