Cuando dos bosques de Windows Server 2003 se conectan por medio de una confianza de bosque, las peticiones de autenticación realizadas con los protocolos Kerberos V5 o NTLM pueden enrutarse entre bosques para, de este modo, proporcionar acceso a los recursos de ambos bosques. Para obtener más información acerca de cómo enrutar peticiones de autenticación entre bosques, vea Sufijos de nombre de enrutamiento entre bosques.

Antes de que los protocolos de autenticación puedan seguir la ruta de confianza del bosque, deberá resolverse el nombre principal de servicio (SPN, service principal name) del equipo en una ubicación del otro bosque. Un SPN puede ser alguno de los siguientes:

• Nombre de sistema de nombres de dominio (DNS) de un host
  
• Nombre DNS de un dominio
  
• Nombre distintivo de un objeto de punto de conexión de servicio
  

Cuando una estación de trabajo de un bosque intenta tener acceso a los datos del equipo de recursos de otro bosque, Kerberos se pone en contacto con el controlador de dominio para obtener un vale de servicio al SPN del equipo de recursos. Una vez que el controlador de dominio realiza la consulta en el catálogo global y comprueba que el SPN no se halla en el mismo bosque que el controlador de dominio, éste envía una referencia del dominio principal a la estación de trabajo. Llegado a este punto, la estación de trabajo realiza una consulta en el dominio principal en referencia al vale de servicio y prosigue el proceso de referencia hasta que llega al dominio donde está ubicado el recurso.

En la siguiente ilustración y pasos correspondientes se ofrece una descripción pormenorizada del proceso de autenticación de Kerberos que se emplea cuando los equipos que ejecutan Windows 2000 Professional, Windows XP Professional, Windows 2000 Server o un miembro de la familia Windows Server 2003 intentan tener acceso a los recursos desde un equipo ubicado en otro bosque.

1. El Usuario1 inicia una sesión en la Estación de trabajo1 utilizando las credenciales del dominio secundario.microsoft.com. A continuación, el usuario intenta tener acceso a un recurso compartido en ServidorArchivos1, ubicado en el bosque msn.com.
   
2. La Estación de trabajo1 se pone en contacto con el Centro de distribución de claves (KDC) de un controlador de dominio en su dominio (CDSecundario1) y pide un vale de servicio para el SPN de ServidorArchivos1.
   
3. CDSecundario1 no encuentra el SPN en su base de datos del dominio y consulta el catálogo global para ver si algún dominio del bosque microsoft.com contiene el SPN. Dado que un catálogo global está limitado a su propio bosque, no es posible encontrar el SPN. A continuación, el catálogo global busca en su base de datos información acerca de cualquier relación de confianza que se haya establecido con su bosque y, en caso de encontrarla, comparará los sufijos de nombre incluidos en el objeto de dominio de confianza (TDO) de la relación de confianza del bosque con el sufijo del SPN de destino para encontrar algún sufijo coincidente. Al encontrar un sufijo coincidente, el catálogo global proporciona una sugerencia de enrutamiento al CDSecundario1.
   
4. CDSecundario1, a su vez, envía una referencia de su dominio principal a Estación de trabajo1.
   
5. Estación de trabajo1 se pone en contacto con un controlador de dominio en CDRaízBosque1 (su dominio principal) para conseguir una referencia a un controlador de dominio (CDRaízBosque2) en el dominio raíz del bosque msn.com.
   
6. Estación de trabajo1 se pone en contacto con CDRaízBosque2 en el bosque msn.com para obtener un vale de servicio para el servicio solicitado.
   
7. CDRaízBosque2 se pone en contacto con su catálogo global a fin de encontrar el SPN, y el catálogo global encuentra un SPN coincidente y lo envía de vuelta a CDRaízBosque2.
   
8. A continuación, CDRaízBosque2 envía la referencia del dominio secundario.msn.com a Estación de trabajo1.
   
9. Estación de trabajo1 se pone en contacto con el KDC de CDSecundario2 y negocia el vale para el Usuario1 para obtener acceso a ServidorArchivos1.
   
10. Ahora que Estación de trabajo1 posee un vale de servicio, lo envía a ServidorArchivos1, que lee las credenciales de seguridad de Usuario1 y crea, en consecuencia, un testigo de acceso.
    

Cuando se establece una relación de confianza de bosque por primera vez, cada bosque recopila todos los espacios de nombres de confianza del bosque asociado y almacena la información en un TDO. Los espacios de nombres de confianza incluyen nombres del árbol de dominio, sufijos del nombre principal de usuario (UPN), sufijos del nombre principal de servicio (SPN) y espacios de nombres del identificador de seguridad (SID) utilizados en el otro bosque. Los objetos TDO se replican en el catálogo global. Para obtener más información acerca de los TDO, vea Confianzas.

Las sugerencias de enrutamiento se emplean sólo cuando ninguno de los canales de autenticación tradicionales (controlador de dominio local y, posteriormente, catálogo global) pueden crear una ubicación de un SPN. Las sugerencias de enrutamiento sirven para dirigir las peticiones de autenticación al bosque de destino.

Cuando un SPN no se puede localizar en el dominio desde el que surgió la petición de inicio de sesión de red o desde la base de datos del catálogo global, el catálogo global comprueba el TDO de la relación de confianza del bosque en busca de sufijos de nombres de confianza ubicados en otro bosque para encontrar uno que coincida con el sufijo del SPN. En caso de encontrar una coincidencia, el dominio raíz del bosque devuelve una sugerencia de enrutamiento al equipo de origen con el fin de poder seguir con el proceso de ubicación del SPN en el otro bosque.

Notas

• Las sugerencias de enrutamiento sólo pueden hacer referencia a sufijos de nombres de confianza incluidos en el TDO para su relación de confianza de bosque. No comprueban el sufijo de nombre antes de devolver la sugerencia al equipo de origen.
  
• No se permite el acceso a nombres NetBIOS ni a la delegación Kerberos entre relaciones de confianza de bosques. NTLM es totalmente compatible y no puede deshabilitarse.
  

Se recomienda diseñar con detenimiento la estrategia de control de acceso que resulte más eficaz para las necesidades de recursos de su organización. El diseño y la implementación de grupos de seguridad en cada uno de los bosques son factores primordiales que deben tenerse en cuenta a lo largo del proceso. Para obtener información acerca de cómo diseñar una estrategia de control de acceso para varios dominios, vea Tener acceso a los recursos entre dominios.

Antes de comenzar el proceso de diseño, es importante que se familiarice con los siguientes conceptos de grupos de seguridad:

• Grupos de seguridad. Los derechos de usuario se pueden aplicar a grupos en Active Directory mientras que los permisos se pueden asignar a grupos de seguridad en servidores miembro que alojan un recurso. Para obtener más información, vea Tipos de grupos.
  
• Anidamiento de grupos. La capacidad para anidar grupos de seguridad depende del ámbito del grupo y de la funcionalidad del dominio. Para obtener más información, vea Anidar grupos.
  
• Ámbito del grupo. El ámbito del grupo ayuda a establecer los límites de acceso a la totalidad del dominio y bosque de los grupos de seguridad. Para obtener más información, vea Ámbito de grupo.
  
• Funcionalidad de dominio. El nivel de funcionalidad de dominio de dominios que confían y de confianza puede afectar la funcionalidad del grupo como, por ejemplo, anidar grupos. Para obtener más información, vea Funcionalidad de dominios y bosques.
  

Una vez familiarizado con los conceptos relacionados con los grupos de seguridad, establezca las necesidades de recursos de cada departamento y de cada división geográfica, para que le sirva de ayuda en el trabajo de diseño.

Los administradores pueden controlar el acceso a recursos ubicados en otros bosques de forma más eficaz si emplean grupos universales, globales y locales de dominio correctamente. Tenga en cuenta las prácticas recomendadas que se incluyen a continuación:

• Para representar los conjuntos de usuarios que necesitan acceso a los mismos tipos de recursos, cree grupos globales basados en funciones en cada dominio y bosque que contenga estos usuarios. Por ejemplo, los usuarios del departamento de ventas de BosqueA requieren acceso a una aplicación de entrada de pedidos que es un recurso de BosqueB. Los usuarios del departamento de contabilidad de BosqueA necesitan acceso a la misma aplicación, pero estos usuarios se encuentran en un dominio distinto. En BosqueA, cree el grupo global PedidoVentas y agregue los usuarios del departamento de ventas al grupo. Cree el grupo global PedidoContabilidad y agregue los usuarios del departamento de contabilidad a dicho grupo.
  
• Para agrupar los usuarios de un bosque que requiera acceso similar a los mismos recursos en un bosque distinto, cree grupos universales que correspondan a las funciones de grupo global. Por ejemplo, en BosqueA, cree un grupo universal denominado PedidosVentasContabilidad y agregue los grupos globales PedidoVentas y PedidoContabilidad al grupo.
  

  Nota
  Los grupos universales no están disponibles como grupos de seguridad en dominios de Windows 2000 Server de modo mixto o en dominios de Windows Server 2003 que tengan un nivel funcional de dominio de Windows 2000 mixto. Están disponibles como grupos de distribución.

• Para asignar permisos a recursos a los que tendrán acceso usuarios de un bosque distinto, cree grupos locales de dominio basados en recursos en cada dominio y use dichos grupos para asignar permisos en los recursos de ese dominio. Por ejemplo, en BosqueB cree un grupo local de dominio denominado AplicaciónEntradaPedidos. Agregue este grupo a la lista de control de acceso (ACL) que permite el acceso a la aplicación de entrada de pedidos y asigne los permisos adecuados.
  
• Para implementar el acceso a un recurso a través de un bosque, agregue grupos universales de bosques de confianza a grupos locales de dominio en los bosques que confían. Por ejemplo, agregue el grupo universal PedidosVentasContabilidad de BosqueA al grupo local de dominio AplicaciónEntradaPedidos en BosqueB.
  

Cuando una nueva cuenta de usuario necesite acceso a un recurso de un bosque distinto, agregue la cuenta al correspondiente grupo global en el dominio del usuario. Cuando un nuevo recurso se tenga que compartir entre bosques, agregue el grupo local de dominio adecuado a la ACL para dicho recurso. De este modo, el acceso está habilitado en los bosques para los recursos en función de la pertenencia a grupos.

Para obtener más información, vea Establecer los permisos de un recurso compartido.

El uso de Dominios y confianzas de Active Directory permite determinar el ámbito de autenticación entre dos bosques que se hallan unidos por medio de una relación de confianza de bosque. Se pueden establecer tipos de autenticación selectiva distintos para las relaciones de confianza de bosque de entrada y de salida. Con las confianzas selectivas, los administradores cuentan con una mayor flexibilidad a la hora de tomar decisiones de control sobre el acceso a la totalidad del bosque. Para más información acerca de cómo establecer la autenticación selectiva, vea Seleccionar el ámbito de autenticación para los usuarios.

Si emplea una autenticación para la totalidad del bosque en una relación de confianza de bosque de entrada, los usuarios de otros bosques poseerán el mismo nivel de acceso a los recursos del bosque local que los usuarios que pertenezcan a este bosque. Por ejemplo, si el BosqueA tiene una relación de confianza de bosque de entrada con el BosqueB y se emplea la autenticación para la totalidad del bosque, los usuarios del BosqueB podrán tener acceso a cualquier tipo de recurso que contenga el BosqueA (siempre y cuando estén provistos de los permisos necesarios).

En caso de que decida establecer la autenticación selectiva en una relación de confianza de entrada, tendrá que asignar permisos de manera manual a cada equipo del dominio así como a los recursos a los que desee que los usuarios del segundo bosque tengan acceso. Para ello, establezca un derecho de acceso de control Permitido autenticarse en el objeto de equipo que hospeda el recurso en Usuarios y equipos de Active Directory en el segundo bosque. A continuación, permita el acceso de usuario o de grupo a los recursos concretos que desea compartir.

Cuando un usuario realiza la autenticación por medio de una relación de confianza con la opción Autenticación selectiva habilitada, se agregará un identificador de seguridad (SID) Otra organización a los datos de autorización del usuario. La presencia del SID da lugar a que se compruebe el dominio de recurso a fin de garantizar que el usuario pueda autenticar el servicio concreto. Una vez que se haya autenticado al usuario, el servidor en el que se autentica agrega el SID Esta organización, en caso de que no exista el SID Otra organización. Sólo puede haber uno de estos SID especiales en el contexto de un usuario autenticado. Para obtener una información más detallada acerca de cómo funciona la autenticación selectiva, vea Consideraciones de seguridad para confianzas.

Los administradores de cada bosque pueden agregar objetos de un bosque a las listas de control de acceso (ACL) en los recursos compartidos del otro bosque. El editor ACL puede usarse para agregar o quitar objetos que residen en un bosque en las listas de control en recursos de otro bosque. Para obtener más información acerca de cómo establecer permisos para recursos, vea Establecer los permisos de un recurso compartido.

Para obtener información acerca de la configuración de restricciones de autenticación para dominios externos, vea Tener acceso a los recursos entre dominios.