Se nenhuma confiança é criada, o domínio é o limite para acessar recursos de uma organização. Com permissões adequadas usuários podem acessar qualquer recurso compartilhado dentro do mesmo domínio.

No entanto para poder acessar recursos em outros domínios, a relação de confiança do AD DS deve ser utilizada. A relação de confiança autentica conexões entre domínios distintos para autorizar por exemplo usuários a acessar recursos fora do seu domínio.

Com o Windows Server 2008 temos as seguintes opções de relação de confiança:

 

-Transitive two-way trusts

-Shortcut trust

-Forest trust

-External trust

-Realm trust

 

 

  • Transitive two-way trusts

Todos os controladores de domínio dentro da mesma floresta mantém uma relação de confiança transitive two-way com os outros controladores de domínio da mesma floresta.

Por exemplo, você cria um domínio teste.com, após isso você cria um domínio filho vendas.teste.com, automaticamente uma relação de confiança transitive two-way é criada. Com essa relação de confiança qualquer usuário do domínio vendas.teste.com pode acessar os recursos localizado no domínio teste.com, desde que o usuário tenha as permissões necessárias.

Todas as relações de confiança são transitivas, ou seja, se o se o domínio vendas.teste.com confia no domínio projetos.teste.com, o domínio teste.com também confia no domínio projetos.teste.com.

Quando um domínio filho é criado a transitive two-way é configurado automaticamente para confiar nos domínios da floresta.

Com o transitive two-way trusts, se o domino teste.com confia no domínio vendas.teste.com, automaticamente o domínio vendas.testes.com também confiara no domínio teste.com (two-way).

 

  • Shortcut trust

Shortcut trust é utilizado para otimizar a performance quando precisamos acessar recursos entre domínios distintos conectados através de confianças transitivas. O shortcut é utilizado quando utilizamos recursos de outro domínio na floresta frequentemente. Como o próprio nome sugere “atalho”(shortcut), podemos criar um atalho para um domínio onde acessamos recursos com freqüência, evitando assim que o domínio percorra toda a floresta em busca de referencias para o domínio onde necessita acessar os recursos, com o atalho, acessamos os recursos diretamente.

O shortcut trust pode ser configurado tanto para one-way como two-way. Shortcut trust não é transitivo.

 

  • Forest trust

O forest trust é uma confiança two-way transitive entre duas florestas distintas. Com o forest trust usuários de uma floresta pode acessar recursos em uma outra floresta.

Forest trust não é transitiva, ou seja, se o domínio teste.com confia no domínio corporate.com, e o domínio corporate.com confia no domínio jaspion.com, o domínio teste.com não terá nenhum tipo de confiança com o domínio jaspion.com o mesmo serve para o processo inverso.

Forest trust torna possível somente a autenticação entre florestas. Nenhuma outra funcionalidade é providenciada. Por exemplo, cada floresta tem seu próprio GC, schema e partição de configuração do diretório.

 

  • External trust

External trust é uma relação de confiança que pode ser criado entre domínios do AD DS que estão localizadas em diferentes florestas ou entre domínios do AD DS e domínios Windows NT 4.0.

A diferencia entre o external trust e o forest trust é que com o external trust podemos criar a relação de confiança com qualquer domínio da floresta e não somente com os domínios roots como é o caso do forest trust.

 

  • Realm trust

O realm trust é configurado entre domínio do windows server 2008 ou florestas, e implementação do kerberos v5 que não seja Windows.

A segurança do kerberos é um padrão aberto, e existem varias outras implementações de kerberos . Realm trust pode ser criado entre qualquer outro padrão kerberos v5.

Realm trust pode ser tanto one-way como two-way e pode também ser configurado com transitivo ou não-transitivo.