Presentación
La relación de confianza entre dos dominios / bosques de Active Directory es un vínculo de confianza que permite a los usuarios autenticados acceder a los recursos de otro dominio.
Una relación de confianza puede ser:
- Unidireccional: el acceso a los recursos solo está disponible en una dirección (A) -> (B).
- Bidireccional: el acceso a los recursos está disponible en ambas direcciones (A) <-> (B).
- Transitivo: si (A) y (B) tienen una relación de confianza transitiva, si (B) aprueba un dominio (C) se aprobará en (A).
Cuando se necesita una relación de confianza:
- Configurando un dominio secundario.
- Compra / fusión de la empresa para permitir el acceso a los recursos.
- Segmentación de SI (geografía / servicio / …).
En este tutorial, veremos cómo establecer una relación de confianza entre dos bosques como si acabáramos de adquirir una empresa.
Prerrequisitos
Para poder discutir correctamente los bosques entre sí, es necesario configurar un reenviador condicional en cada servidor DNS.
Configurar la relación de confianza
Las operaciones se realizaron en un controlador de dominio en lab.intra.
Abra la consola de confianza y dominio de Active Directory, haga clic con el botón derecho en el dominio 1 y haga clic en Propiedades 2.
Vaya a la pestaña Aprobaciones 1 y haga clic en Nueva aprobación 2 para iniciar el asistente.
Cuando se inicie el asistente, haga clic en Siguiente 1.
Indique el dominio 1 con el que se establece la relación de confianza y haga clic en Siguiente 2.
Elija el tipo de aprobación: Forest trust 1 y haga clic en Siguiente 2.
Configure la dirección de la aprobación, en el ejemplo elegiremos una dirección Bidireccional 1 y daremos clic en Siguiente 2 para validar.
Elija la opción Este dominio y el dominio especificado 1, esto le permite crear directamente la confianza en el otro dominio. Haga clic en Siguiente 1.
Ingrese los identificadores 1 de una cuenta de Administración en el dominio especificado y luego haga clic en Siguiente 2.
Elija la opción Autenticación para todos los recursos en el bosque 1 y haga clic en Siguiente 2.
La autenticación de todos los recursos del bosque permitirá a los usuarios de ambos dominios abrir sesiones en todas las estaciones de trabajo disponibles. Si desea configurar la autenticación selectiva, lo invito a leer este artículo.
También elija Autenticación para todos los recursos en el bosque 1 para los usuarios del bosque local al otro bosque y luego haga clic en Siguiente 2.
Se muestra un resumen de la relación de confianza, haga clic en Siguiente 1 para crear la relación.
Se ha creado la relación de confianza, haga clic en Siguiente 1.
Confirme la aprobación saliente y la siguiente seleccionando Sí 1 y haciendo clic en Siguiente 2.
Haga clic en Finalizar 1 para cerrar el asistente.
Vemos que se ha creado la relación de confianza.
En un controlador en el otro bosque, también verifique que se haya creado la relación.
Pon a prueba la relación de confianza
Para validar la aprobación, haremos 2 pruebas:
- En una estación de trabajo que es miembro del dominio lab.intra, vamos a abrir una sesión con un usuario que es miembro del dominio old.lan
- Vamos a hacer que un usuario del dominio lab.intra sea miembro de un grupo del dominio old.lan
Iniciar sesión en una computadora en otro dominio
En una computadora en el dominio lan.intra, cambie el usuario e ingrese las credenciales de un usuario en el dominio old.lan, indicando su dominio en el identificador.
Una vez que la sesión está abierta, inicie un símbolo del sistema e ingrese SET, en la captura de pantalla a continuación vemos que la computadora está en el dominio lab.intra 1 y que el usuario es miembro del dominio anterior. lan.
Hacer miembro de un grupo de dominio de confianza
Vaya a las propiedades de un usuario en el dominio lab.intra para agregarlo a un grupo. En la ventana de selección de grupos, haga clic en Ubicaciones 1.
Elija el dominio de confianza 1 y haga clic en Aceptar 2.
Seleccione un grupo 1 y haga clic en Aceptar 2 para agregarlo.
El usuario ahora forma parte de un grupo de dominio de confianza.
