Active Directory: relación de confianza entre dos bosques / dominios

Windows Server 2012R2  Windows Server 2016  Windows Server 2019

Presentación

La relación de confianza entre dos dominios / bosques de Active Directory es un vínculo de confianza que permite a los usuarios autenticados acceder a los recursos de otro dominio.

Una relación de confianza puede ser:

  • Unidireccional: el acceso a los recursos solo está disponible en una dirección (A) -> (B).
  • Bidireccional: el acceso a los recursos está disponible en ambas direcciones (A) <-> (B).
  • Transitivo: si (A) y (B) tienen una relación de confianza transitiva, si (B) aprueba un dominio (C) se aprobará en (A).

Cuando se necesita una relación de confianza:

  • Configurando un dominio secundario.
  • Compra / fusión de la empresa para permitir el acceso a los recursos.
  • Segmentación de SI (geografía / servicio / …).

En este tutorial, veremos cómo establecer una relación de confianza entre dos bosques como si acabáramos de adquirir una empresa.

Schéma relation d'approbation

Prerrequisitos

Para poder discutir correctamente los bosques entre sí, es necesario configurar un reenviador condicional en cada servidor DNS.

Configurar la relación de confianza

Las operaciones se realizaron en un controlador de dominio en lab.intra.

Abra la consola de confianza y dominio de Active Directory, haga clic con el botón derecho en el dominio 1 y haga clic en Propiedades 2.

Console domaine et approbation Active Directory / Active Directory Domain and Trust Console

Vaya a la pestaña Aprobaciones 1 y haga clic en Nueva aprobación 2 para iniciar el asistente.

approbations / approvals

Cuando se inicie el asistente, haga clic en Siguiente 1.

Wizard

Indique el dominio 1 con el que se establece la relación de confianza y haga clic en Siguiente 2.

Domain approval / Domaine approuvé

Elija el tipo de aprobación: Forest trust 1 y haga clic en Siguiente 2.

type de relation d'approbation / type of trust relationship

Configure la dirección de la aprobación, en el ejemplo elegiremos una dirección Bidireccional 1 y daremos clic en Siguiente 2 para validar.

Direction de la relation d'approbation / Directorate of the trust relationship

Elija la opción Este dominio y el dominio especificado 1, esto le permite crear directamente la confianza en el otro dominio. Haga clic en Siguiente 1.

Config approval

Ingrese los identificadores 1 de una cuenta de Administración en el dominio especificado y luego haga clic en Siguiente 2.

credential remote domain

Elija la opción Autenticación para todos los recursos en el bosque 1 y haga clic en Siguiente 2.

Niveau d'authentification d'approbation / Approval authentication level

La autenticación de todos los recursos del bosque permitirá a los usuarios de ambos dominios abrir sesiones en todas las estaciones de trabajo disponibles. Si desea configurar la autenticación selectiva, lo invito a leer este artículo.

También elija Autenticación para todos los recursos en el bosque 1 para los usuarios del bosque local al otro bosque y luego haga clic en Siguiente 2.

Niveau d'authentification d'approbation / Approval authentication level

Se muestra un resumen de la relación de confianza, haga clic en Siguiente 1 para crear la relación.

Resumé de la relation d'approbation / Summary of the approval relationship

Se ha creado la relación de confianza, haga clic en Siguiente 1.

Relation d'approbation créée / Created trust relationship

Confirme la aprobación saliente y la siguiente seleccionando Sí 1 y haciendo clic en Siguiente 2.

Haga clic en Finalizar 1 para cerrar el asistente.

End

Vemos que se ha creado la relación de confianza.

En un controlador en el otro bosque, también verifique que se haya creado la relación.

Pon a prueba la relación de confianza

Para validar la aprobación, haremos 2 pruebas:

  • En una estación de trabajo que es miembro del dominio lab.intra, vamos a abrir una sesión con un usuario que es miembro del dominio old.lan
  • Vamos a hacer que un usuario del dominio lab.intra sea miembro de un grupo del dominio old.lan

Iniciar sesión en una computadora en otro dominio

En una computadora en el dominio lan.intra, cambie el usuario e ingrese las credenciales de un usuario en el dominio old.lan, indicando su dominio en el identificador.

Approved domain user

Una vez que la sesión está abierta, inicie un símbolo del sistema e ingrese SET, en la captura de pantalla a continuación vemos que la computadora está en el dominio lab.intra 1 y que el usuario es miembro del dominio anterior. lan.

Approved domain user

Hacer miembro de un grupo de dominio de confianza

Vaya a las propiedades de un usuario en el dominio lab.intra para agregarlo a un grupo. En la ventana de selección de grupos, haga clic en Ubicaciones 1.

Add group

Elija el dominio de confianza 1 y haga clic en Aceptar 2.

Select domain

Seleccione un grupo 1 y haga clic en Aceptar 2 para agregarlo.

Select group

El usuario ahora forma parte de un grupo de dominio de confianza.




Related Posts


Aplicar un GPO a un grupo de Active Directory

IntroducciónRequisito previoAplicar una política a un grupoConclusión Introducción En este artículo, lo guiaré a través de cómo aplicar la directiva de grupo (GPO) a un grupo de Active Directory que c

Roles FSMO

ResumenDescripción general de los roles de FSMOMaestro de atribución de nombres de dominioMaestro de diagramaMaestro RIDEmulador de controlador de dominio primario (PDC)Infraestructura maestraVer role

Ir arriba