¿Son transitivos los fideicomisos forestales de Active Directory?
https://stackoverflow.com/questions/242426
-
04-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy trabajando en la resolución de problemas de una aplicación en desarrollo que utiliza información de Active Directory en un entorno de varios bosques y tengo el problema actual de averiguar si los fideicomisos forestales son transitivos y, de ser así, bajo qué condiciones.
La configuración: con Active Directory 2003, ForestA tiene una confianza de bosque de dos vías con ForestB . ForestB tiene una confianza forestal bidireccional con ForestC .
En esta situación, ¿hay algún tipo de relación de confianza entre ForestA y ForestC? He encontrado información contradictoria; Este primer enlace indica claramente que la confianza del bosque no es transitiva a otros bosques:
Los fideicomisos forestales solo se pueden crear entre dos bosques y no se pueden extender implícitamente a un tercer bosque. Esto significa que si se crea una confianza forestal entre el bosque 1 y el bosque 2, y también se crea una confianza forestal entre el bosque 2 y el bosque 3, el bosque 1 no tendrá una confianza implícita con el bosque 3.
Sin embargo, también puedo encontrar en la lista de tipos de confianza una indicación de que los fideicomisos forestales son transitivos:
Tipo de confianza: bosque Transitividad: transitiva
Encima de este bosque, los fideicomisos se muestran como " transitive " en la lista de confianza del directorio activo cuando se ve a través de " Administrar dominios y confianza "
¿Esto significa que la confianza del bosque es transitiva DENTRO del bosque que confía pero no a otros bosques? Entonces, en el escenario mencionado anteriormente:
ForestA < - > ForestB < - > ForestC
Los subdominios recogerían la confianza del bosque a través de la transitividad (entonces subdom1. ForestA confiaría en office7. ForestB ) pero habría acceso compartido entre ForestA y ForestB . ¿Es correcto o me he confundido con la información bastante confusa que publica Microsoft? ¿Alguien tiene experiencia personal de esto que puedan compartir?
Solución
Específicamente, creo que el & "; transitivo &"; en Transitive Forest Trusts de Microsoft es para los dominios dentro de cada bosque en lugar de bosque a bosque a bosque.
Por ejemplo
Bosque 1 con dominio raíz A y dos dominios secundarios B y C Bosque 2 con dominio raíz X y dos dominios secundarios Y y Z
Con un dominio de confianza forestal transitivo, Z confiaría en el dominio C automáticamente, sin necesidad de crear un enlace de confianza directo (confianza de acceso directo).
Otros consejos
Las pruebas con tres dominios muestran que la información de fideicomisos forestales es correcto; cuando configuré tres bosques en la configuración ForestA < - > Bosque B & Lt; - & Gt; ForestC ForestA no pudo ver ninguna credencial de ForestC.
Cross Forest Trusts NO son transitivos. Los fideicomisos para padres / hijos / árboles son ...
http://technet.microsoft.com/ es-es / biblioteca / cc773178 (WS.10) .aspx
La confianza del dominio NT 4 no era transitiva de esta manera. No estoy seguro acerca de AD.
