TAGS
Esta es la parte 3 de la serie que explicar acerca de los "Fideicomisos" entre infraestructuras. Si no marcó las otras 2 partes todavía se puede encontrar en aquí.
En este artículo voy a cubrir el resto de los conceptos, términos, implica la creación de un fideicomiso.
Identificador de seguridad (SID) de filtrado
Microsoft Systems utiliza una estructura conocida como SID para expresar sus identidades. Su actuar como un token. El filtrado de SID se utiliza para bloquear a los usuarios en el bosque o dominio de confianza que son capaces de elevar sus privilegios en el bosque local o de dominio. Esto es importante para las confianzas externas como cuando confiar en usted puede controlar los derechos para proporcionar credenciales entre los dominios.
Por las ventanas por defecto 2012, ventanas 2012 R2 han permitido el filtrado de SID. Si desea desactivar esto, puede hacerlo utilizando comandos siguientes. ()
Para desactivar el filtro de SID para poner en cuarentena el dominio que confía
la confianza Netdom <TrustingDomainName> / dominio: <nombreDeDominioDeConfianza> / cuarentena: n / userD: <DomainAdministratorAcct> / passwordd: <DomainAdminPwd>
Para desactivar el filtro de SID para poner en cuarentena el bosque que confía
la confianza Netdom <TrustingDomainName> / dominio: <nombreDeDominioDeConfianza> / enablesidhistory: Sí / userD: <DomainAdministratorAcct> / passwordd: <DomainAdminPwd>
Se recomienda mantener el estado habilitado por defecto a menos que tenga la razón crítica.
Sufijo de nombre de enrutamiento
En una organización puede tener diferentes sufijos UPN (nombre principal de usuario) que se utilizan con en su bosque. Por ejemplo Contoso LTD. Puede utilizar contoso.com, mycontoso.net, companyA.org como sufijos de nombres. Sin embargo, cuando la creación de un fideicomiso puede que no necesite para permitir que los usuarios de todos estos sufijos. Con Nombre sufijo enrutamiento podemos activar o desactivar los sufijos UPN que intervendrán con las operaciones de fideicomiso.
Voy a demostrar cómo podemos hacer esto en la próxima entrada que irá más a las configuraciones del mundo real.
Trust autenticaciones
Los fideicomisos pueden utilizar 2 protocolos de autenticación. Por defecto se utiliza Kerberos versión 5. Si no la está apoyando utilizar la autenticación NTLM. Con el fin de iniciar un fideicomiso, el administrador tiene que ser un miembro del grupo de administradores de dominio o grupo de usuarios de la empresa de administración. La confianza necesita para iniciar en ambos lados.
.
