Pré-Requisitos: Conhecer os conceitos de diretório, domínio, usuários e grupos.
Metodologia: Apresentar o conceito de Relações de confiança entre domínios.

É através do uso de relações de confiança entre domínios, que é possível que um usuário de um domínio possa fazer o logon com sua conta de usuário e senha, mesmo utilizando um computador de um outro domínio. Por exemplo, o usuário jsilva está cadastrado no domínio A e viaja para a filial da empresa, a qual pertence ao domínio B. O usuário jsilva está utilizando um computador que faz parte do domínio B. Durante o processo de logon ele informa o seu nome de usuário, senha e seleciona o domínio no qual ele quer fazer o logon (no exemplo o domínio A) e consegue fazer o logon normalmente.

Como foi possível ao domínio B (mais especificamente a um DC do domínio B), verificar as credenciais do usuário (logon e senha) e permitir o logon? Isso foi possível graças ao mecanismo de relações de confiança existente no Windows Server 2003, o qual é muito semelhante ao que existe no Windows 2000 Server, porém completamente diferente do que acontecia no Windows NT Server 4.0. Neste item apresentarei em mais detalhes, o mecanismo de relações de confiança entre domínios no Windows Server 2003.

Como eram as relações de confiança na época do NT Server 4.0?

As relações de confiança no NT Server 4.0 são definidas por três características principais:

• São unilaterais: Se o domínio A confia no domínio B, isso não significa que o domínio B confia no domínio A automaticamente. Para que haja essa confiança recíproca é preciso criar duas relações de confiança: uma para definir que o domínio A confia no domínio B e outra para definir que o domínio B confia no domínio A. A Figura 5.9, da ajuda do Windows Server 2003, ilustra este conceito:

Figura 5.9 Relação de confiança unilateral.

Neste exemplo do Dom A confia no Dom B. Isso significa que as contas do Dom B são “visíveis” no Dom A, ou seja, é possível atribuir permissões de acesso para as contas do Dom B, em recursos do Dom A. O contrário não é verdadeiro, ou seja, não é possível atribuir permissões de acesso para as contas do Dom A, em recursos do domínio B. Para que isso fosse possível teria que ser criada mais uma relação de confiança, agora com o Dom B “confiando” nas contas do Dom A. Isso tudo acontece porque as relações de confiança no NT Server 4.0 são unilaterais.

• Não são transitivas: Se o Dom A confia no Dom B e o Dom B confia no domínio C, isso não implica que o Dom A também confia no Dom C. Para que o Dom A confie no Dom C, uma relação de confiança entre os dois domínios tem que ser manualmente criada pelo Administrador.
• Devem ser criadas manualmente pelos Administradores: As relações de confiança não são criadas automaticamente e devem ser criadas pelos Administradores de cada domínio. O processo é bem trabalhoso. Para que o Dom A possa confiar no Dom B, primeior o Administrador do Dom B tem que fazer uma configuração “dizendo” que ele aceita que o Dom A confie no Dom B. O próximo passo é o Administrador do Dom A estabelecer a relação de confiança com o Dom B. Para que o Dom B também possa confiar no Dom A, todo o processo (só que na direção inversa) tem que ser repetido.

Para uma rede com 10 domínios, para que todos possam confiar em todos os outros, são necessárias 90 relações de confiança. O número de relações de confiança, com base no número de domínios, pode ser calculada pela fórmula a seguir:

n*(n-1)

onde n é o número de domínios.

Para 10 domínios teremos:

10*(10-1)
10*9
90

A Figura 5.10, obtida do Resource Kit do Windows 2000 Server, mostra como seria uma árvore de domínios no NT Server 4.0, onde foram implementadas relações de confianças entre todos os domínios:

Figura 5.10 Relações de confiança unidirecionais, não transitivas do NT Server 4.0.

E como são as relações de confiança no Windows Server 2003?

No Windows Server 2003 (bem como no Windows 2000 Server) as relações de confiança são criadas automaticamente entre os domínios de uma árvore de domínios. As relações são bi-direcionais, ou seja, se o Dom A confia no Dom A, isso significa que o Dom B também confia no Dom A. As relações de confiança são transitivas, ou seja se o Dom A confia no Dom B, o qual confia no Dom C, então o dom A também confia no Dom C e vice-versa.  A Figura 5.11 ilustra as relações de confiança no Windows Server 2003.

Figura 5.11 Relações de confiança bi-direcionais e transitivas do Windows Server 2003.

Outros tipos de relações de confiança:

As relações de confiança criadas automaticamente, entre os domínios de uma árvore no Windows Server 2003, apresentam as características descritas anteriormente: Automaticamente criadas, bi-direcionais e transitivas.

Porém existem situações em que pode ser necessária a criação de outros tipos de relações de confiança. Por exemplo, pode ser necessária a criação de uma relação de confiança entre um dos domínios da sua rede, com um domínio baseado no Windows NT Server da rede de um fornecedor ou parceiro de negócio. Ou pode ser necessária a criação de uma relação de confiança entre um domínio da sua rede (baseado no Windows Server 2003) com um domínio da rede de outra empresa, também baseado no Windows Server 2003. Neste caso você teria que criar uma relação de confiança com um domínio em outra árvore de domínios. A seguir vou analisar e exemplificar os tipos de relações de confiança que existem.

Tipos padrão de relações de confiança:

Existem dois tipos padrão de relação de confiança, conforme descrito a seguir:

• Transitiva bi-direcional entre um Domínio pai e um Domínio filho: Quando o Administrador cria um domínio filho (conforme mostrarei no Capítulo 8), uma relação de confiança bi-direcional e transitiva é criada, automaticamente, pelo assistente de instalação do Active Directory. Por exemplo, se você tem um domínio root chamado abc.com e cria um domínio filho chamado vendas.abc.com, o assistente de instalação do Active Directory, automaticamente cria durante a criação do domínio vendas.abc.com, uma relação de confiança bi-direcional e transitiva entre os dominios abc.com e vendas.abc.com.
• Transitiva bi-direcional entre uma árvore de domínios e o domínio root de uma floresta: Você pode juntar várias árvores de domínios para formar um floresta. Este tipo de relação de confiança é automaticamente criado, quando você cria um novo domínio em uma floresta já existente. A relação é estabelecida.

Outros tipos de relações de confiança:

Existem outros tipos padrão de relação de confiança, conforme descrito a seguir:

• Externa, não transitiva, unidirecional ou bi-direcional: Este tipo de relacionamento é criado com um domínio externo, baseado no Windows NT Server 4.0 ou com um domínio baseado no Windows Server 2003 ou Windows 2000 Server, localizado em outra floresta. Se o domínio for baseado no NT Server 4.0 a relação será unidirecional, caso contrário será bi-direcional.

O exemplo da Figura 5.12 ilustra bem as situações onde pode ser criada uma relação de confiança deste tipo:

Figura 5.12 Relações de confiança externas – unidirecional ou bi-direcional.

• Realm, transitiva ou não transitiva, unidirecional ou bi-direcional: Este tipo de relação é criado entre um domínio baseado no Windows Server 2003 e outros domínios, também baseados no protocolo Kerberos, como por exemplo o UNIX. O protocolo Kerberos é um padrão de fato que fornece, dentre outros, serviços de autenticação em um domínio do Windows 2000 Server ou Windows Server 2003. Outros sistemas operacionais também utilizam o Kerberos. Este tipo de relacionamento poderia ser utilizado, por exemplo, para que as contas de um domínio baseado no UNIX, pudessem receber permissões de acesso em recursos de um domínio baseado no Windows Server 2003.
• Entre florestas, transitiva, unidirecional ou bi-direcional: Este tipo de relacionamento é criado entre os domínios root de duas florestas. Pode ser do tipo unidirecional ou bi-direcional Se for do tipo bi-direcional, os usuários de uma floresta podem acessar recursos nos domínios da outra floresta e vice-versa. Um exemplo prático de uso deste tipo de relação de confiança seria quando é feita a fusãod e duas empresas e você precisa permitir que os usuários de uma empresa possam acessar recursos nos servidores da rede da outra empresa e vice-versa.
• Shortcut, transitiva, unidirecional ou bi-direcional: Este tipo de relação de confiança é utilizado para melhorar o tempo de logon entre dois domínios, em uma floresta. Considere o exemplo da Figura 5.13:

Figura 5.13 Relações de confiança do tipo Shortcut (atalho).

Neste exemplo foram criadas três relações de confiança do tipo Shortcuot:

• Entre os domínios B e D.
• Entre os domínios A e 1.
• Entre os domínios D e 2.

O principal objetivo deste tipo de relação de confiança é otimizar os tempos de logon. No exemplo da Figura 5.13, vou analisar o que acontece quando um usuário do Dom B precisa acessar um recurso no Dom D. O primeiro passo é autenticar o usuário. Se não houver a relação do tipo Shortcut entre B e D, o Windows Server 2003 precisa percorrer o caminho de relações de confiança na árvore (De B para A e da A para D), para poder autenticar o usuáro do domínio D. Já com a relação do tipo shortcut entre B e D, existe um caminho direto entre estes dois domínios, o que diminui o tempo de logon/autenticação. Quanto mais afastados (quanto maior o caminho e o número de relações de confiança a ser percorrido), mais será reduzido o tempo de logon entre os domínios, se o Administrador criar uma relação de confiança do tipo Shortcut.