Excluir sufijos de nombres del enrutamiento a un bosque local

Excluir sufijos de nombres del enrutamiento a un bosque local.

Para excluir sufijos de nombres del enrutamiento a un bosque local

  1. Abra Dominios y confianzas de Active Directory.
  2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo de dominio que desea administrar y, a continuación, haga clic en Propiedades.
  3. En la ficha Confianzas, en Dominios de confianza para este dominio (confianzas de salida) o en Dominios que confían en este dominio (confianzas de entrada), haga clic en la relación de confianza de bosque que desee administrar y, después, haga clic en Propiedades.
  4. En la ficha Enrutamiento de sufijo de nombre, en Sufijos de nombre en el bosque x.x, haga clic en el sufijo de nombre para el que desee excluir el estado de enrutamiento y, a continuación, haga clic en Modificar.
  5. En Sufijos de nombre para excluir del enrutamiento a x.x, haga clic en Agregar, escriba un sufijo de nombre de Sistema de nombres de dominio (DNS) que esté subordinado al sufijo de nombre único y, después, haga clic en Aceptar.

Notas

  • Para llevar a cabo este procedimiento, debe ser miembro del grupo Admins. del dominio (en el dominio raíz del bosque) o del grupo Administradores de organización en Active Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica de seguridad, se recomienda utilizar la opción Ejecutar como para realizar este procedimiento. Para obtener más información, vea Grupos locales predeterminados, Grupos predeterminados y Utilizar Ejecutar como.
  • Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Dominios y confianzas de Active Directory.
  • Cuando un sufijo de nombre se excluye, se excluirán igualmente todos los secundarios del nombre DNS en cuestión.
  • Para ver un registro de sufijos de nombre, nombres DNS, nombres NetBIOS y el estado de éstos asociado con esta confianza, haga clic en Guardar como. Este registro puede servir para solucionar problemas de autenticación.
  • Para obtener información acerca de las confianzas, vea Temas relacionados.

Información acerca de diferencias funcionales

  • Es posible que el servidor funcione de forma distinta según la versión y la edición del sistema operativo instalado, de los permisos de la cuenta y de la configuración de los menús.

Habilitar o deshabilitar un sufijo de nombre existente del enrutamiento

Habilitar o deshabilitar un sufijo de nombre existente del enrutamiento.

Para habilitar o deshabilitar un sufijo de nombre existente del enrutamiento

  1. Abra Dominios y confianzas de Active Directory.
  2. En el árbol de la consola, haga clic con el botón secundario del <i>mouse</i> (ratón) en el nodo del dominio que desea administrar y, a continuación, haga clic en Propiedades.
  3. En la ficha Confianzas, en Dominios de confianza para este dominio (confianzas de salida) o en Dominios que confían en este dominio (confianzas de entrada), haga clic en la relación de confianza de bosque que desee administrar y, después, haga clic en Propiedades.
  4. En la ficha Enrutamiento de sufijo de nombre, en Sufijos de nombre en el bosque x.x, realice una de las siguientes acciones:
    • Para habilitar un sufijo de nombre, haga clic en el sufijo pertinente y, a continuación, haga clic en Habilitar. Si el botón Habilitar aparece atenuado, esto significa que el sufijo de nombre ya está habilitado.
    • Para deshabilitar un sufijo de nombre, haga clic en el sufijo pertinente y, a continuación, haga clic en Deshabilitar. Si el botón Deshabilitar aparece atenuado, esto significa que el sufijo de nombre ya está deshabilitado.

Notas

  • Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores del dominio (en el dominio raíz del bosque) o de Administradores de organización en Active Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica de seguridad recomendada, considere la posibilidad de utilizar la opción Ejecutar como para realizar este procedimiento. Para obtener más información, vea Grupos locales predeterminados, Grupos predeterminados y Utilizar Ejecutar como.
  • Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Dominios y confianzas de Active Directory.
  • Cuando un sufijo de nombre se deshabilita, se deshabilitarán igualmente todos los secundarios del nombre DNS en cuestión.
  • No se puede habilitar un sufijo de nombre que se halla en conflicto. En caso de que el conflicto se produzca con un sufijo de nombre UPN local, tendrá que quitar el sufijo de nombre UPN local antes de poder habilitar el nombre de enrutamiento. En caso de que el conflicto se produzca con un nombre de otro socio de confianza, tendrá que deshabilitar el nombre en la otra confianza para poder habilitarlo en ésta.
  • Para obtener información acerca de las confianzas, vea Temas relacionados.

Información acerca de las diferencias funcionales

  • Es posible que el servidor funcione de forma distinta según la versión y la edición del sistema operativo instalado, de los permisos de la cuenta y de la configuración de los menús.

Cambiar el estado de enrutamiento de un sufijo de nombre

Cambiar el estado de enrutamiento de un sufijo de nombre.

Para cambiar el estado de enrutamiento de un sufijo de nombre

  1. Abra Dominios y confianzas de Active Directory.
  2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo de dominio que desea administrar y, a continuación, haga clic en Propiedades.
  3. En la ficha Confianzas, en Dominios de confianza para este dominio (confianzas de salida) o en Dominios que confían en este dominio (confianzas de entrada), haga clic en la relación de confianza de bosque que desee administrar y, después, haga clic en Propiedades.
  4. En la ficha Enrutamiento de sufijo de nombre, en Sufijos de nombre en el bosque x.x, haga clic en el sufijo cuyo estado de enrutamiento desee modificar y, después, haga clic en Modificar.
  5. En Sufijos de nombre existentes en x.x, haga clic en el sufijo que desee modificar y, después, haga clic en Habilitar o en Deshabilitar.

Notas

  • Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente. Si el equipo está unido a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento. Como práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento.
  • Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Dominios y confianzas de Active Directory.
  • No se puede habilitar un sufijo de nombre que se halla en conflicto. En caso de que el conflicto se produzca con un sufijo de nombre UPN local, tendrá que quitar el sufijo de nombre UPN local antes de poder habilitar el nombre de enrutamiento. En caso de que el conflicto se produzca con un nombre de otro socio de confianza, tendrá que deshabilitar el nombre en la otra confianza para poder habilitarlo en ésta.
  • Para ver un registro de sufijos de nombre, nombres DNS, nombres NetBIOS y el estado de éstos asociado con esta confianza, haga clic en Guardar como. Este registro puede servir para solucionar problemas de autenticación.
  • Para obtener información acerca de las confianzas, vea Temas relacionados.

Información acerca de diferencias funcionales

  • Es posible que el servidor funcione de forma distinta según la versión y la edición del sistema operativo instalado, de los permisos de la cuenta y de la configuración de los menús.

Crear una relación de confianza de bosque

Crear una relación de confianza de bosque.

Para crear una relación de confianza de bosque

  1. Abra Dominios y confianzas de Active Directory.
  2. En el árbol de la consola, haga clic con el botón secundario en el nodo del dominio raíz del bosque que desea administrar y, a continuación, haga clic en Propiedades.
  3. En la ficha Confianza, haga clic en Nueva confianza y, a continuación, en Siguiente.
  4. En la página Nombre de confianza, escriba el nombre DNS (o nombre NetBIOS) de otro bosque y, después, haga clic en Siguiente.
  5. En la página Tipo de confianza, haga clic en Confianza de bosque y, a continuación, en Siguiente.
  6. En la página Dirección de confianza, realice una de las acciones siguientes:
    • Para crear una confianza de acceso directo bidireccional, haga clic en Bidireccional.
      Los usuarios de este bosque y los del bosque especificado tendrán acceso a los recursos de cada bosque.
    • Para crear una relación de confianza de entrada unidireccional, haga clic en Unidireccional de entrada.
      Los usuarios del bosque especificado no tendrán acceso a ninguno de los recursos de este bosque.
    • Para crear una relación de confianza de salida unidireccional, haga clic en Unidireccional de salida.
      Los usuarios de este bosque no tendrán acceso a ninguno de los recursos del bosque especificado.
  7. Continúe con los pasos del asistente.

Importante

  • Para crear una relación de confianza de forma correcta, su entorno debe estar configurado adecuadamente. Para obtener más información, vea la lista de comprobación para crear una relación de confianza en Temas relacionados.

Notas

  • Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores de dominio (en el dominio raíz del bosque) o del grupo Administradores de empresa en Active Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica de seguridad recomendada, considere la posibilidad de utilizar la opción Ejecutar como para realizar este procedimiento. Para obtener más información, vea Grupos locales predeterminados, Grupos predeterminados y Utilizar Ejecutar como.
  • En caso de ser un miembro del grupo de Creadores de confianza de bosque de entrada, podrá crear relaciones de confianza de entrada unidireccionales para este bosque.
  • Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Dominios y confianzas de Active Directory.
  • En un controlador de dominio que ejecute Windows Server 2003, el dominio raíz de bosque es el primer dominio que aparece en la lista del árbol de la consola en Dominios y confianzas de Active Directory. Esta configuración no está disponible en controladores de dominio que ejecuten Windows 2000.
  • Si dispone de las credenciales administrativas adecuadas para cada bosque, podrá crear ambas partes de una relación de confianza al mismo tiempo haciendo clic en Ambos, este dominio y el dominio especificado en la página Partes de confianza. Para obtener más información, vea Temas relacionados.
  • Si desea que los usuarios del bosque especificado tengan acceso a todos los equipos del bosque local, en la página Propiedades de confianza de salida haga clic en Autenticación en todo el bosque. Esta es la opción más conveniente cuando ambos bosques pertenecen a la misma organización.
  • Si desea limitar de forma selectiva la autenticación para ciertos usuarios y grupos dentro del bosque especificado, en la página Propiedades de confianza de salida haga clic en Autenticación selectiva. Esta es la opción más conveniente cuando el bosque especificado pertenece a una organización distinta.
  • Además de crear relaciones de confianza nuevas, también puede modificar otras ya existentes si hace clic en la ficha Confianza.
  • La herramienta de línea de comandos Dsmod.exe no admite la adición de principios de seguridad de un bosque a los grupos que se encuentran en otro bosque, cuando ambos están unidos por una confianza de bosque. Puede utilizar el complemento Usuarios y equipos de Active Directory para agregar principios de seguridad a través de una confianza de bosque.

Información sobre diferencias funcionales

  • Es posible que el servidor funcione de forma distinta según la versión y la edición del sistema operativo instalado, de los permisos de la cuenta y de la configuración de los menús.

Seleccionar el ámbito de autenticación para los usuarios

Seleccionar el ámbito de autenticación para los usuarios.

Para seleccionar el ámbito de autenticación para los usuarios

  1. Abra Dominios y confianzas de Active Directory.
  2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo de dominio que desea administrar y, a continuación, haga clic en Propiedades.
  3. En la ficha Confianzas, en Dominios de confianza para este dominio (confianzas de salida) o Dominios que confían en este dominio (confianzas de entrada), realice una de las acciones siguientes:
    • Para seleccionar el ámbito de autenticación para los usuarios que se autentican a través de una confianza externa, haga clic en la confianza externa que desea administrar y, a continuación, en Propiedades. En la ficha Autenticación, haga clic en Autenticación en todo el dominio o Autenticación selectiva.
    • Para seleccionar el ámbito de autenticación para los usuarios que se autentican a través de una confianza de bosque, haga clic en la confianza de bosque que desea administrar y, a continuación, en Propiedades. En la ficha Autenticación, haga clic en Autenticación en todo el bosque o Autenticación selectiva.

Notas

  • Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores de dominio o del grupo Administradores de organización de Active Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para obtener más información, vea Grupos locales predeterminados, Grupos predeterminados y Utilizar Ejecutar como.
  • Para llevar a cabo este procedimiento, debe ser miembro del grupo Admins. del dominio (en el dominio raíz del bosque) o del grupo Administradores de organización en Active Directory, o bien debe tener delegada la autoridad correspondiente.
  • Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Dominios y confianzas de Active Directory.
  • Para una confianza externa, si selecciona Autenticación selectiva, debe habilitar manualmente los permisos en el dominio local y en el recurso al que desea que los usuarios del dominio externo tengan acceso.
  • Para una confianza de bosque, si selecciona Autenticación selectiva, debe habilitar manualmente los permisos en cada dominio y recurso del bosque local al que desea que los usuarios del segundo bosque tengan acceso.
  • Sólo puede utilizar autenticación selectiva en confianzas de bosque y externas. Para obtener más información acerca de la autenticación selectiva, vea Consideraciones de seguridad para confianzas.

Información acerca de diferencias funcionales

  • Es posible que el servidor funcione de forma distinta según la versión y la edición del sistema operativo instalado, de los permisos de la cuenta y de la configuración de los menús.

Crear una confianza de territorio

Crear una confianza de territorio.

Mediante la interfaz de Windows
  1. Abra Dominios y confianzas de Active Directory.
  2. En el árbol de la consola, haga clic con el botón secundario del <i>mouse</i> (ratón) en el nodo del dominio que desea administrar y, a continuación, haga clic en Propiedades.
  3. En la ficha Confianzas, haga clic en Nueva confianza y, a continuación, en Siguiente.
  4. En la página Nombre de confianza, escriba el nombre del territorio para el territorio de destino y, a continuación, haga clic en Siguiente.
  5. En la página Tipo de confianza, seleccione la opción de Confianza de territorio y, a continuación, haga clic en Siguiente.
  6. En la página Transitividad de confianza, realice una de las acciones siguientes:
    • Para formar una relación de confianza con el dominio y el territorio especificado, haga clic en Intransitiva y, a continuación, haga clic en Siguiente.
    • Para formar una relación de confianza con el dominio y el territorio especificado y todos los territorios de confianza, haga clic en Transitiva y, a continuación, haga clic en Siguiente.
  7. En la página Dirección de confianza, realice una de las acciones siguientes:
    • Para crear una confianza de acceso directo bidireccional, haga clic en Bidireccional.
      Los usuarios de este dominio y los usuarios del territorio especificado pueden tener acceso a los recursos en el dominio o en el territorio.
    • Para crear una confianza de territorio unidireccional de entrada, haga clic en Unidireccional de entrada.
      Los usuarios del territorio especificado no podrán tener acceso a ningún recurso de este dominio.
    • Para crear una confianza de territorio unidireccional de salida, haga clic en Unidireccional de salida.
      Los usuarios de este dominio no podrán tener acceso a ningún recurso del territorio especificado.
  8. Continúe con el asistente.

Notas

  • Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores de dominio o del grupo Administradores de organización de Active Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para obtener más información, vea Grupos locales predeterminados, Grupos predeterminados y Utilizar Ejecutar como.
  • Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Dominios y confianzas de Active Directory.

Mediante una línea de comandos
  1. Abra la ventana del símbolo del sistema.
  2. Escriba:
    netdom trustNombreDeDominioQueConfía/d:NombreDeDominioQueConfía/add/realm/PasswordT:NuevaContraseñaDeConfianzaDeTerritorio

Valor
Descripción

NombreDeDominioQueConfía

Especifica el nombre DNS del dominio que confía en la nueva confianza de territorio.

NombreDeDominioDeConfianza

Especifica el nombre DNS del dominio en que se confiará en la nueva confianza de territorio.

NuevaContraseñaDeConfianzaDeTerritorio

Especifica la contraseña de confianza para la nueva confianza de territorio. Esta contraseña tiene que coincidir con la utilizada en el territorio Kerberos.

Notas

  • Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores de dominio o del grupo Administradores de organización de Active Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para obtener más información, vea Grupos locales predeterminados, Grupos predeterminados y Utilizar Ejecutar como.
  • Para abrir el símbolo del sistema, haga clic en Inicio, seleccione Todos los programas, Accesorios y, a continuación, haga clic en Símbolo del sistema.
  • Este método de línea de comandos requiere el uso de la herramienta de soporte Netdom de Windows. Para obtener información acerca de cómo instalar las herramientas de soporte de Windows, vea Temas relacionados.
  • Se pueden utilizar otros modificadores para asignar una contraseña o determinar la dirección de la confianza. Por ejemplo, para convertir la confianza anterior en una confianza transitiva bidireccional, debe utilizar la sintaxis siguiente:
    netdom trustNombreDeDominioQueConfía/d:NombreDeDominioQueConfía/add/realm/twoway
  • Para ver la sintaxis completa de este comando, en el símbolo del sistema, escriba:
    netdom trust | more

Información acerca de diferencias funcionales

  • Es posible que el servidor funcione de forma distinta según la versión y la edición del sistema operativo instalado, de los permisos de la cuenta y de la configuración de los menús.

Crear una confianza externa

Crear una confianza externa.

Mediante la interfaz de Windows
  1. Abra Dominios y confianzas de Active Directory.
  2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo de dominio con el que desea establecer una confianza y, a continuación, haga clic en Propiedades.
  3. En la ficha Confianzas, haga clic en Nueva confianza y, a continuación, en Siguiente.
  4. En la página Nombre de confianza, escriba el nombre DNS (o nombre NetBIOS) del dominio y, a continuación, haga clic en Siguiente.
  5. En la página Tipo de confianza, haga clic en Confianza externa y, a continuación, en Siguiente.
  6. En la página Dirección de confianza, realice una de las acciones siguientes:
    • Para crear una confianza externa bidireccional, haga clic en Bidireccional.
      Los usuarios de este dominio y los usuarios del dominio especificado pueden tener acceso a los recursos de cualquiera de los dominios.
    • Para crear una confianza externa unidireccional de entrada, haga clic en Unidireccional de entrada.
      Los usuarios del dominio especificado no podrán tener acceso a ningún recurso de este dominio.
    • Para crear una confianza externa unidireccional de salida, haga clic en Unidireccional de salida.
      Los usuarios de este dominio no podrán tener acceso a ningún recurso del dominio especificado.
  7. Continúe con el asistente.

Notas

  • Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores de dominio o del grupo Administradores de organización de Active Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para obtener más información, vea Grupos locales predeterminados, Grupos predeterminados y Utilizar Ejecutar como.
  • Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Dominios y confianzas de Active Directory.
  • Si tiene las credenciales administrativas adecuadas para cada dominio, puede crear ambas partes de una confianza externa al mismo tiempo si hace clic en Ambos, este dominio y el dominio especificado en la página Partes de confianza. Para obtener más información, vea los Temas relacionados.
  • Si desea permitir a los usuarios de un determinado dominio que tengan acceso a todos los recursos de este dominio, haga clic en Permitir autenticación a todos los recursos del dominio local en la página Propiedades de confianza de salida. Esta opción se debe utilizar cuando ambos dominios pertenezcan a la misma organización.
  • Si desea restringir a los usuarios de un determinado dominio el acceso a cualquiera de los recursos de este dominio, haga clic en Permitir autenticación sólo a los recursos seleccionados del dominio local en la página Propiedades de confianza de salida. Esta opción se debe utilizar cuando cada dominio pertenezca a una organización diferente.

Mediante la línea de comandos
  1. Abra la ventana del símbolo del sistema.
  2. Escriba:
    netdom trustnombreDeDominioQueConfía/d:nombreDeDominioDeConfianza/add

Valor
Descripción

NombreDeDominioQueConfía

Especifica el nombre DNS (o nombre NetBIOS) del dominio que confía en la confianza que se está creando.

NombreDeDominioDeConfianza

Especifica el nombre DNS (o nombre NetBIOS) del dominio en el que se confiará en la confianza que se está creando.

Notas

  • Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores de dominio o del grupo Administradores de organización de Active Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para obtener más información, vea Grupos locales predeterminados, Grupos predeterminados y Utilizar Ejecutar como.
  • Para abrir el símbolo del sistema, haga clic en Inicio, seleccione Todos los programas, Accesorios y, a continuación, haga clic en Símbolo del sistema.
  • Este método de línea de comandos requiere el uso de la herramienta de soporte Netdom de Windows. Para obtener información acerca de cómo instalar las herramientas de soporte de Windows, vea los Temas relacionados.
  • Se pueden utilizar otros modificadores para asignar una contraseña o determinar la dirección de la confianza. Por ejemplo, para crear una confianza transitiva bidireccional, debe utilizar la sintaxis siguiente:
    netdom trustnombreDeDominioQueConfía/d:nombreDeDominioDeConfianza/add/twoway
  • Para ver la sintaxis completa de este comando, en el símbolo del sistema, escriba:
    netdom trust | more

Información acerca de diferencias funcionales

  • Es posible que el servidor funcione de forma distinta según la versión y la edición del sistema operativo instalado, de los permisos de la cuenta y de la configuración de los menús.