Fácil de establecer la confianza entre bosques con Win 2003

Windows 2000 permite a las empresas integrar diferentes unidades de negocios en una estructura unificada, que es Active Directory Forest, que no es posible en Windows NT 4.0. Muchas unidades de negocios que no pueden coexistir en dominios NT 4.0 ahora pueden coexistir pacíficamente en la unidad organizativa (OU) o dominio de Active Directory. Pero como dicen algunas personas que usan una sola estructura forestal, también hay ocasiones en que las unidades de negocios no pueden coexistir. Algunas veces, razones comerciales o políticas requieren que logres un bosque separado. En muchos casos, los usuarios en bosques separados todavía necesitan acceso a los recursos en el bosque central. Por lo tanto, es necesario generar confianza entre el bosque central y otros bosques. La forma en que Windows 2003 establece relaciones de confianza entre diferentes dominios de bosque es consistente con NT 4.0. Pero la nueva función de confianza de bosque de Windows Server 2003 lo hace más simple.

Varios ejemplos de bosques

Desde una perspectiva de seguridad de la información, un dominio no es solo un límite de seguridad, sino también un límite entre la replicación y la administración. Los miembros del grupo de administradores del dominio raíz, el grupo de administradores del dominio y el grupo de administradores de la empresa pueden acceder fácilmente a cualquier máquina del bosque. La única manera de aislar realmente los recursos es colocarlos en bosques separados.

No necesitamos renunciar a la idea de construir un solo bosque, pero debemos cambiarlo para mantener la cantidad de bosques al mínimo y aumentar el bosque solo cuando sea necesario. Para obtener un estándar sobre cómo determinar si se debe crear un bosque, consulte el documento técnico de Microsoft “Consideraciones de diseño para la delegación de administración en Active Directory” (http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/addeladmin.asp). Este libro blanco ilustra claramente los límites de seguridad entre unidades organizativas, dominios y bosques, y muestra cómo determinar si colocar unidades comerciales en bosques separados.

¿Cuándo necesitas un bosque para separar? Esto es necesario en varias situaciones. La situación más común es la necesidad de garantizar la autonomía de la administración (equivalente a " No confío en usted). Otro escenario es que la unidad de negocios de la entidad principal ejecuta el propio bosque de Windows 2000 y no se puede actualizar de inmediato. Dado que el bosque todavía tarda un tiempo, debe encontrar una manera de coexistir con él. Existe otra situación relacionada con la arquitectura del bosque. Recuerde que las arquitecturas (como las definiciones de la estructura AD) se comparten en todo el bosque. Si desea cambiar la arquitectura con frecuencia, debe hacer esto en bosques separados para que solo pueda cambiar el centro cuando sea necesario. La arquitectura del bosque.

La separación de recursos es otra razón importante para establecer un bosque separado. Por ejemplo, la información de la agencia legal debe estar separada, y los contratos protegidos también deben estar separados. Algunas industrias, como los bancos, son penalizadas si comparten la información de los clientes.

Confianza de Forest 2000 en Windows 2000

En un bosque de Windows 2000, el protocolo de seguridad Kerberos establece automáticamente relaciones de confianza entre dominios. Una característica importante de Kerberos es el soporte para la entrega de confianza. Si el dominio A confía en el dominio B y el dominio B confía en el dominio C, el dominio A confía automáticamente en el dominio C. La forma sencilla de recordar la transmisión de la confianza es recordar que "tu amigo es mi amigo". Esta característica hace posible el concepto de árbol de dominios, y la entrega automática de tickets de Kerberos permite que un dominio del bosque confíe automáticamente en otros dominios. La confianza bidireccional de Kerberos en el bosque también se denomina "confianza interna". Para obtener más información sobre la tecnología Kerberos para Windows 2000, consulte el documento técnico de Microsoft "Windows 2000 Kerberos Authentication" (http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp).

Forest 2000 Trust en Windows 2000

Las relaciones de confianza fuera del bosque son más primitivas. En Windows 2000, Kerberos no podía establecer la confianza entre los bosques. NT LAN Manager (NTLM) establecerá relaciones de confianza con los dominios NT 4.0 y los dominios de Windows 2000 en otros bosques. Estas confianzas se denominan “confianzas externas” (el tercer tipo de confianza, “confianza rápida”, utiliza Kerberos para conectar directamente los subdominios de dos árboles de dominios para mejorar el rendimiento).

La confianza externa tiene las mismas limitaciones que la confianza de NT 4.0: la confianza externa no es tan segura como la confianza de Kerberos y no se puede pasar. Por lo tanto, pronto caerá en la misma situación que NT 4.0, y debe mantener la confianza en cada dominio de cada bosque.

Forest Trust para Windows 2003

Forest trust es un tipo de confianza que conecta dos dominios de raíz de bosque. La confianza forestal le permite unir bosques amigables de una manera simple y fácil, más rápido y más flexible que la confianza NTLM. Dado que la confianza en los bosques reemplaza NTLM con Kerberos, la confianza entre los dos bosques es transitiva. Por ejemplo, si el Bosque A confía en el Bosque B, entonces todos los dominios en el Bosque A también confían en todos los dominios en el Bosque B. Sin embargo, esta confianza no se transmite entre los bosques. Si el Bosque A confía en el Bosque B y el Bosque B confía en el Bosque C, el Bosque A no confía automáticamente en el Bosque C. Esta es la misma que la regla de confianza de NTLM, pero se escala para que se ajuste al bosque de dominios y, como la confianza de NTLM, puede establecer una confianza de una o dos vías.

Ventajas de Forest Trust

Dos ventajas de Forest Trust son la certificación y autorización entre bosques. La certificación entre bosques permite a los usuarios de bosques de confianza iniciar sesión en el bosque de bosques de confianza sin tener que crear una cuenta repetidamente. La autorización entre bosques también le permite asignar permisos a los usuarios de bosques confiables para que puedan acceder a los recursos que confían en el bosque, así como a las cuentas duplicadas. Este comportamiento no pone en peligro el perímetro de seguridad del bosque.