Cómo administrar relaciones de confianza en Active Directory

Índice de Contenido
  1. Guía de la Consola de Dominios y Confianzas de Active Directory
  2. Razón de ser
  3. Un vistazo bajo el capó
  4. Trabajar a nivel de Dominios y Confianzas
  5. Establecer el controlador de operaciones de nombres de dominio
  6. Aumentar el nivel funcional del bosque
  7. Agregar sufijos UPN
  8. Trabajar a nivel de dominio
  9. Gestionar el enrutamiento de sufijos de nombre

Guía de la Consola de Dominios y Confianzas de Active Directory

Si llevas trabajando con Active Directory durante cierto tiempo, es muy probable que ya estés familiarizado con los temas de dominios y relaciones de confianza. Ambos están directamente relacionados con Active Directory, que es el repositorio central de una amplia gama de información en Windows 2000 Server, Windows Server 2003 y Windows Server 2008. Hay varias herramientas incluidas en Windows Server para gestionar Active Directory en todos sus aspectos. En este artículo, aprenderás sobre los usos y detalles de la Consola de Dominios y Confianzas de Active Directory.

Razón de ser

Antes de adentrarnos en la Consola de Dominios y Confianzas de Active Directory, es importante entender el propósito de esta herramienta administrativa.

Introducida por primera vez en Windows 2000 Server, Active Directory ha servido como repositorio central de una gran cantidad de información en todas las versiones de Windows desde entonces. Hay muchos tipos de información almacenada en Active Directory, incluyendo lo siguiente:

  • Usuarios y grupos
  • Zonas DNS
  • Impresoras compartidas
  • Dominios
  • Relaciones de confianza
  • Objetos específicos de una aplicación, como Exchange

Cuando creas un nuevo dominio, lo haces instalando Active Directory en un servidor. Este proceso convierte al servidor en el primer controlador de dominio del nuevo dominio. En una pequeña organización, es posible que solo haya un dominio. Sin embargo, en organizaciones más grandes, es muy común utilizar múltiples dominios para separar departamentos, divisiones o recursos de los usuarios.

Los dominios están estructurados en árboles y bosques. Un árbol de dominio es una colección de dominios relacionados. Un bosque de dominio es una colección de árboles de dominio relacionados. Si te preguntas qué es exactamente un árbol de dominio, piensa en la posibilidad de que haya dominios secundarios que dependan del dominio principal. Estos dominios secundarios se pueden considerar como ramas. De ahí la metáfora del árbol. Una vez que tu infraestructura crece más allá de un solo dominio, entran en juego las relaciones de confianza. Una relación de confianza permite que un dominio confíe en objetos de otro dominio para la autenticación y acceso a recursos.

Por ejemplo, si el dominio A confía en el dominio B, un usuario del dominio B puede acceder a recursos en el dominio A si tiene los permisos de acceso necesarios. En un bosque de dominio de Windows 2000 o posterior, todas las relaciones de confianza son transitivas y bidireccionales o de dos vías. Si recuerdas lo que aprendiste en tu clase de Lógica en la universidad, sabrás lo que son las relaciones transitivas. En un ejemplo transitivo, si A confía en B y B confía en C, entonces A también confía en C. Lo mismo se aplica a los dominios de Windows. Una confianza transitiva es aquella que fluye de un dominio a otro y luego a otro. Así que si el dominio A confía en el dominio B y el dominio B confía en el dominio C, entonces el dominio A confía en el dominio C. ¿Tiene sentido?

Cómo personalizar el color de los símbolos en una lista con viñetas en Word

Una confianza de dos vías es aquella que fluye en ambas direcciones entre dos dominios. Por ejemplo, el dominio A confía en el dominio B y el dominio B confía en el dominio A. Las confianzas en Windows NT eran un poco complicadas, pero en Windows 2000 y posteriores, las confianzas son automáticas; no necesitas configurar una confianza entre un dominio padre y un dominio hijo porque Windows Server establece relaciones de confianza implícitas.

Finalmente, considera las relaciones de confianza entre bosques. Recuerda que un bosque es una colección de dominios. Puedes crear relaciones de confianza entre bosques de dominio separados para permitir que los dominios de un bosque confíen en los dominios del otro. En las relaciones de confianza entre bosques que son transitivas y de dos vías, todos los dominios de cada bosque confían en todos los dominios del otro bosque y viceversa. Las relaciones de confianza entre bosques ofrecen varios beneficios en grandes organizaciones, simplificando la administración y la autenticación.

Con todo esto en mente, ¿cuál es el propósito de la Consola de Domnios y Confianzas de Active Directory? Primero y quizás más importante, la consola te permite gestionar las relaciones de confianza entre dominios y bosques. La consola también te permite establecer los niveles funcionales del dominio y el bosque, así como administrar los sufijos de nombre principal de usuario (UPN).

La Consola de Dominios y Confianzas de Active Directory no ofrece el mismo nivel de funcionalidad que la Consola de Usuarios y Equipos de Active Directory, ya que no se pueden realizar tantas tareas a nivel global en dominios en comparación con las tareas realizadas dentro de un dominio. En general, la Consola de Dominios y Confianzas de Active Directory te permite realizar las siguientes tareas:

  • Aumentar el nivel funcional del dominio: Un dominio de Windows Server 2008 puede funcionar en uno de tres modos: Windows 2000 nativo, Windows Server 2003 o Windows Server 2008. Estos modos se explican en detalle en mi publicación sobre Niveles Funcionales de Dominio y Bosque de Windows Server 2008.
  • Aumentar el nivel funcional del bosque: Windows Server 2008 admite tres niveles funcionales del bosque, cada uno ofreciendo niveles crecientes de capacidad, aunque el nivel funcional del bosque de Windows Server 2008 no añade características adicionales. Estos niveles incluyen Windows 2000, Windows Server 2003 y Windows Server 2008. Por ejemplo, cuando todos los controladores de dominio en un dominio están ejecutando Windows Server 2008 y cada dominio ha alcanzado el modo funcional de Windows Server 2008, puedes aumentar el nivel funcional de ese dominio a Windows Server 2008.
  • Añadir sufijos UPN: En un dominio de Windows 2000 o posterior, los usuarios pueden iniciar sesión con el UPN asociado a sus cuentas. Un UPN tiene la forma usuario@suffix, como [email protected]. Los usuarios también pueden iniciar sesión con el nombre de inicio de sesión de usuario anterior a Windows 2000, que en este ejemplo probablemente sería usuario (pero no necesariamente). El sufijo UPN generalmente identifica el dominio en el que reside la cuenta, pero puede ser el nombre DNS del dominio, el nombre DNS de otro dominio en el bosque o un sufijo alternativo creado por el administrador del dominio únicamente para el inicio de sesión.
  • Gestionar la confianza en el dominio: Hay varias tareas que se pueden realizar con la consola, como verificar o eliminar una confianza y crear confianzas de acceso directo, de reino y externas. Estos tipos de confianza se explicarán más adelante.
  • Gestionar la confianza en el bosque: Puedes realizar varias tareas relacionadas con la confianza en el bosque, como crear una confianza en el bosque y gestionar la dirección de enrutamiento para sufijos de nombre específicos.

Un vistazo bajo el capó

Para abrir la Consola de Dominios y Confianzas de Active Directory, ve a Inicio | Todos los programas | Herramientas administrativas | Dominios y confianzas de Active Directory. Cuando abres la consola por primera vez, como se muestra en Figura A, verás una pantalla bastante sencilla que lista el dominio local y sus dominios secundarios, si los hay.

Figura A

La Consola de Dominios y Confianzas de Active Directory es una Consola de Administración de Microsoft (MMC) estándar con el diseño y elementos habituales. El panel izquierdo muestra la lista de dominios y el panel derecho muestra objetos, como las confianzas, asociados con el dominio seleccionado.

Cómo hacer que el contenido de tu documento de Word se ajuste a una sola página

Menús

La Consola de Dominios y Confianzas de Active Directory incluye cuatro elementos de menú:

  • Archivo: Utiliza el menú Archivo para cerrar la consola. También puedes elegir Opciones en el menú Archivo para abrir un cuadro de diálogo que te permite eliminar los archivos que guardan los cambios que realizas en la consola.
  • Acción: El contenido del menú Acción cambia según el objeto seleccionado en la consola. Con la rama Dominios y Confianzas de Active Directory seleccionada, puedes conectarte a un controlador de dominio, ver o cambiar los controladores de operaciones del dominio y aumentar el nivel funcional del bosque. También puedes actualizar la vista y exportar la lista de dominios en varios formatos de texto delimitado. Al elegir Propiedades en el menú Acción, puedes agregar sufijos UPN alternativos. También puedes abrir la Ayuda desde este menú. Cuando seleccionas un dominio, puedes elegir Acción | Gestionar para abrir la Consola de Usuarios y Equipos de Active Directory centrada en el dominio seleccionado. Al seleccionar el menú Propiedades con un dominio seleccionado, puedes ver las propiedades del dominio, gestionar las confianzas y especificar el usuario o contacto responsable de gestionar el dominio.
  • Ver: Utiliza el menú Ver para añadir o quitar columnas en el panel derecho o elegir el modo de vista (íconos pequeños, íconos grandes, lista o detalles). También puedes personalizar la vista añadiendo o quitando elementos de interfaz, como la barra de herramientas, la barra de estado, las pestañas de navegación del Panel de Tareas y otros elementos.
  • Ayuda: Como ocurre con otras consolas basadas en MMC, utiliza este menú para acceder al contenido de Ayuda para la MMC actual, en este caso, la Consola de Dominios y Confianzas de Active Directory, así como al contenido general de Ayuda de MMC.

La barra de herramientas
En la parte superior de la Consola de Dominios y Confianzas de Active Directory, como se muestra en Figura A, notarás que hay una barra de herramientas. La barra de herramientas contiene los siguientes botones:

  • Atrás: Navega hacia atrás en la consola.
  • Adelante: Navega hacia adelante en la consola.
  • Un nivel hacia arriba (no siempre se muestra): Mueve al siguiente nivel superior en el árbol; solo disponible cuando se selecciona un dominio.
  • Mostrar/Ocultar el Árbol de Consola: Alterna la visualización del panel de navegación izquierdo.
  • Propiedades: Abre las propiedades del elemento seleccionado.
  • Actualizar (no siempre se muestra): Actualiza la vista actual; solo disponible cuando se selecciona la rama Dominios y Confianzas.
  • Exportar lista: Exporta los objetos seleccionados como una lista delimitada.
  • Ayuda: Abre el contenido de Ayuda.

Menús contextuales

Como ocurre con la mayoría de las herramientas, la consola ofrece un menú contextual cuando haces clic derecho en un elemento en el panel del árbol de la consola. Los comandos del menú contextual corresponden a los elementos del menú Acción cuando se selecciona el mismo elemento.

Trabajar a nivel de Dominios y Confianzas

Hay varias tareas que puedes realizar con la Consola de Dominios y Confianzas de Active Directory a nivel de Dominios y Confianzas. No cubriré tareas mundanas como actualizar o personalizar la vista; en cambio, me centraré en tareas de gestión de dominios y bosques.

Cómo cambiar el tipo y tamaño de fuente en Outlook: Guía paso a paso

Conectarse a un controlador de dominio

A medida que trabajas con la Consola de Dominios y Confianzas de Active Directory, especialmente cuando trabajas desde una estación de trabajo administrativa, es probable que necesites cambiar el enfoque de la consola. Puedes hacerlo conectándote a un controlador de dominio específico (DC). Para ello, haz clic en la rama Dominios y Confianzas de Active Directory y elige Acción | Cambiar controlador de dominio de Active Directory. O simplemente haz clic derecho en la rama Dominios y Confianzas de Active Directory y elige Cambiar controlador de dominio de Active Directory.

La consola muestra el cuadro de diálogo Cambiar Servidor de Directorio Conectado (Figura B). Ingresa el nombre del dominio manualmente en la sección “” o haz clic en la flecha hacia abajo junto a la casilla Buscar en este dominio para ubicar un controlador de dominio diferente. Después de seleccionar un dominio, sus controladores de dominio aparecen en la parte inferior del cuadro de diálogo. Elige la opción Cualquier Controlador de Dominio Grabable si no necesitas trabajar con un DC específico en el dominio. De lo contrario, selecciona el DC de la lista y luego haz clic en Aceptar.

Figura B

El cuadro de diálogo Cambiar Servidor de Directorio

Establecer el controlador de operaciones de nombres de dominio

El controlador de operaciones de nombres de dominio (uno de los roles FSMO) asegura que todos los dominios de la empresa tengan nombres únicos. Solo hay una computadora en la empresa que funciona como controlador de operaciones. Por defecto, el controlador de operaciones es el primer controlador de dominio creado.

Por diversas razones, es posible que quieras mover el rol de controlador de operaciones a un DC diferente. Para hacerlo, abre la Consola de Dominios y Confianzas de Active Directory y haz clic en la rama Dominios y Confianzas de Active Directory. Elige Acción | Cambiar controlador de dominio de Active Directory. Encuentra y selecciona el DC que se convertirá en el controlador de operaciones y haz clic en Aceptar. Elige Acción | Controladores de operaciones o haz clic derecho en la rama y elige Controladores de operaciones en el menú contextual. En el cuadro de diálogo Controladores de operaciones, haz clic en Cambiar.

Figura C

Cambio del servidor que alberga el rol de controlador de operaciones

Aumentar el nivel funcional del bosque

Como se mencionó anteriormente en este artículo, puedes aumentar el nivel funcional del bosque a Windows Server 2008 si todos los controladores de dominio en el bosque se han elevado al nivel de Windows Server 2008. Para aumentar el nivel funcional del bosque, haz clic en la rama Dominios y Confianzas de Active Directory y elige Acción | Aumentar nivel funcional del bosque. Si todos los dominios en el bosque se han elevado al nivel de Windows Server 2008, la consola muestra el cuadro de diálogo Aumentar nivel funcional del bosque que se muestra en Figura D.

Cómo instalar APFS para Windows: una solución para la compatibilidad de sistemas operativos

Figura D

Aumentar el nivel funcional del bosque

Si los dominios en el bosque no se han elevado todos al nivel de Windows Server 2008, recibirás un mensaje de error que indica que no se han cumplido todos los requisitos previos para la operación.

Agregar sufijos UPN

Cuando creas un dominio, Windows ofrece el nombre del dominio raíz y el dominio actual como sufijos UPN predeterminados. Los usuarios pueden iniciar sesión con el UPN, como [email protected], o con el nombre de inicio de sesión de usuario anterior a Windows 2000, como username. En algunas situaciones, es posible que desees agregar otros sufijos UPN. Por ejemplo, tal vez tu dominio de inicio de sesión sea ejemplo.com, pero todo el correo electrónico de usuario se envía a direcciones en woodgrovebank.com. Para ayudar a los usuarios a recordar sus UPN, decides agregar el sufijo UPN woodgrovebank.com al dominio. Puedes hacerlo fácilmente con la Consola de Dominios y Confianzas de Active Directory.

Abre la consola, haz clic en la rama Dominios y Confianzas de Active Directory y elige Acción, luego Propiedades para abrir la pestaña Sufijos UPN. Haz clic en el cuadro de Sufijos UPN Alternativos y escribe el sufijo que deseas agregar (como woodgrovebank.com) y haz clic en Agregar. Repite el proceso para agregar otros sufijos UPN al bosque.

Figura E

Agrega sufijos UPN adicionales según sea necesario

Trabajar a nivel de dominio

Algunas de las tareas que puedes realizar a nivel de dominio con la Consola de Dominios y Confianzas de Active Directory son similares a las tareas que se pueden realizar a nivel de bosque. También puedes realizar algunas tareas adicionales, como gestionar las confianzas.

Gestionar el dominio

Cuando estás trabajando con el dominio local, es fácil abrir la Consola de Usuarios y Equipos de Active Directory, que se abre enfocada en el dominio local. Sin embargo, cuando estás trabajando con esta consola, es probable que estás trabajando con otros dominios. Cuando necesites gestionar objetos en esos dominios y ya tienes abierta la Consola de Dominios y Confianzas de Active Directory, a menudo es más fácil abrir y gestionar el dominio desde allí. Para gestionar un dominio, haz clic en el dominio en el árbol de la consola y elige Acción, luego Gestionar. La Consola de Usuarios y Equipos de Active Directory se abrirá enfocada en el dominio seleccionado.

Cómo aplicar formato condicional en Excel para dividir grupos

Ver y establecer propiedades generales

Hay solo una propiedad general que se puede establecer para un dominio a través de la Consola de Dominios y Confianzas de Active Directory: una descripción del dominio. La descripción aparece en la consola cuando abres las propiedades del dominio. La descripción puede ayudarte a identificar el propósito del dominio o hacer un seguimiento de otra información útil.

Para establecer la descripción, haz clic en el dominio y luego elige Acción | Propiedades. Haz clic en el campo Descripción y escribe la descripción. El cuadro de diálogo también muestra otra información, como el nivel funcional del dominio, el nivel funcional del bosque y el nombre de dominio anterior a Windows 2000. Consulta Figura F para ver cómo se ve esta ventana.

Figura F

Cambia una etiqueta de dominio

Gestionar las confianzas
Una de las tareas clave que realizarás con la Consola de Dominios y Confianzas de Active Directory es gestionar las relaciones de confianza entre dominios y bosques. Por ejemplo, puedes verificar las relaciones de confianza que existen entre dominios. Para hacerlo, haz clic en el dominio que contiene la confianza que deseas verificar y elige Acción, luego Propiedades. Haz clic en la pestaña Confianzas y haz clic en la confianza que deseas verificar. Haz clic en Propiedades para abrir las propiedades de la confianza. El cuadro de diálogo en Figura G muestra la dirección y la transitividad de la confianza, y también te permite validar la confianza.

Figura G

Aquí puedes validar la confianza.

Cuando haces clic en Validar, la consola abre un cuadro de diálogo de Active Directory, que se muestra en Figura H. Selecciona Sí, validar la confianza entrante si deseas validar la relación de confianza desde el otro dominio. Elige No, no validar la confianza entrante (el valor predeterminado) si solo deseas validar la confianza saliente. Si eliges Sí, haz clic en el campo Nombre de usuario e introduce el nombre de usuario de una cuenta con privilegios en el dominio local, introduce la contraseña correspondiente y haz clic en Aceptar. La consola luego muestra un cuadro de diálogo informativo que indica el estado de la confianza (Figura I).

Figura H

Proporciona las credenciales para validar la confianza

Figura I

La validación de confianza fue un éxito.

También puedes usar la pestaña de Confianzas para agregar nuevas relaciones de confianza. Puedes crear los siguientes tipos de confianza:

Cómo acceder y configurar el firewall de Windows Defender en Windows 10
  • Confianza de acceso directo: Es una confianza entre dos dominios no adyacentes en el mismo bosque. Las confianzas de acceso directo pueden ayudar a mejorar el tiempo de inicio de sesión. Pueden ser unidireccionales o bidireccionales y son transitivas.
  • Confianza de reino: Una confianza de reino permite crear una confianza entre un reino Kerberos no Windows y un dominio de Windows Server. Las confianzas de reino pueden ser unidireccionales o bidireccionales, transitivas o no transitivas.
  • Confianza externa: Este tipo de confianza conecta un dominio de Windows Server con un dominio de Windows NT o un dominio en otro bosque sin una confianza de bosque. Las confianzas externas pueden ser unidireccionales o bidireccionales y no son transitivas.
  • Confianza de bosque: Utiliza este tipo de confianza para permitir el intercambio de recursos entre bosques. Las confianzas de bosque pueden ser unidireccionales o bidireccionales y son transitivas.

Cuando haces clic en Nueva confianza en la pestaña Confianzas, la Consola de Dominios y Confianzas de Active Directory inicia el Asistente para Nuevas Confianzas. Después de hacer clic en Siguiente para avanzar más allá de la página de bienvenida obligatoria, el asistente solicita el nombre del dominio, bosque o reino. Si el asistente no reconoce el nombre especificado como un dominio Windows válido, muestra la página Tipo de Confianza que se muestra en Figura J, que te permite elegir entre una confianza de reino y un dominio de Windows y entrar un nombre diferente para el dominio.

Figura J

Elije el tipo adecuado de confianza

Si especificas un dominio que es la raíz de un bosque externo, la consola te dará la opción de crear una confianza de bosque o una confianza externa. Solo puedes crear una confianza de bosque si el nivel de bosque local se ha elevado al menos al nivel de Windows Server 2003. De hecho, si el nivel de bosque no se ha elevado, la consola trata automáticamente la confianza como una confianza externa y no muestra la ventana de diálogo. Si especificas un dominio por debajo de la raíz del bosque remoto, la consola también trata la confianza como una confianza externa.

A continuación, en la página Dirección de la confianza, el asistente solicita la dirección de la confianza: bidireccional, unidireccional de entrada o unidireccional de salida. A continuación, especificas dónde se creará la confianza, si solo a nivel local o también en el dominio remoto.

Luego, especificas el ámbito de autenticación para la confianza. Elige Autenticación de todo el dominio si quieres que Windows autentique automáticamente a los usuarios del dominio remoto para todos los recursos en el dominio local. Elige Autenticación selectiva si deseas otorgar permisos individualmente para usuarios del dominio remoto a recursos locales. (Puedes cambiar el ámbito de autenticación después de crear la confianza. Abre las propiedades de la confianza, haz clic en la pestaña de Autenticación y elige el ámbito deseado).

Después de elegir el ámbito de autenticación y hacer clic en Siguiente, ingresas y confirmas una contraseña que Windows utiliza para validar la creación de la confianza. Después de una página de confirmación, el asistente crea la confianza y luego te da la opción de confirmar la confianza. Si creaste una confianza bidireccional, la consola te da la opción de confirmar la confianza en ambas direcciones.

Gestionar el enrutamiento de sufijos de nombre

Cuando trabajas con una confianza de bosque, un asunto a considerar es el enrutamiento de sufijos de nombre entre bosques. El enrutamiento de sufijos de nombre permite que las solicitudes de autenticación se enrutien a otros dominios. Puedes encontrar un buen resumen del enrutamiento de sufijos de nombre, la detección de colisiones de sufijos de nombre y temas relacionados en Active Directory Domains And Trusts/Concepts/Understanding Active Directory Domains And Trusts/Understanding Trusts/Routing Name Suffixes Across Forests en la Ayuda de la Consola de Dominios y Confianzas de Active Directory.

SQL Server 2022: Mejoras en seguridad y rendimiento con enfoque en la nube de Azure

Cuando estés listo para configurar el enrutamiento de sufijos de nombre, abre la Consola de Dominios y Confianzas de Active Directory y haz clic en el dominio raíz del bosque. Elige Acción | Propiedades y haz clic en la pestaña Confianzas. Haz clic en la confianza bosque en la lista de confianzas y haz clic en Propiedades, luego haz clic en la pestaña Enrutamiento de Sufijo de Nombre. Aquí puedes habilitar o deshabilitar sufijos de nombre específicos para enrutamiento. También puedes excluir explícitamente sufijos de nombre del enrutamiento hacia un bosque local. Haz clic en el sufijo de nombre en la lista y haz clic en Editar para abrir el cuadro de diálogo Editar. Haz clic en Agregar, escribe el sufijo y haz clic en Aceptar. En el cuadro de diálogo de Edición, también puedes cambiar el estado de enrutamiento de un sufijo de nombre.

Como puedes ver, la Consola de Dominios y Confianzas de Active Directory, si bien no se utiliza tan a menudo como la Consola de Usuarios y Equipos de Active Directory, es una herramienta fundamental en tu arsenal administrativo.

El boletín de Servidores y Almacenamiento de Newsmatic, entregado los lunes y miércoles, ofrece consejos que te ayudarán a administrar y optimizar tu centro de datos. ¡Regístrate automáticamente hoy mismo!

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Microsoft, allí encontraras muchos artículos similares a Cómo administrar relaciones de confianza en Active Directory , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.