El esquema y el catálogo
El esquema son un conjunto de reglas básicas que definen las clases de objetos y los atributos contenidos en el directorio (restricciones en instancias, límites, formato de nombres, etc.)
El catálogo contiene información sobre cada objeto del directorio permitiendo a los usuarios encontrar información independientemente del dominio del bosque donde se encuentren
Árbol de dominio
El primer dominio de un árbol se denomina dominio raíz mientras que los dominios adicionales del mismo árbol se denominan dominios secundarios o subdominios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.
Todos los dominios que comparten el mismo dominio raíz forman un árbol de dominios y constituyen un espacio de nombres contiguo. Ademas comparten un esquema y un catálogo global comunes.
Bosque
Formado por uno o varios árboles de dominio. Los bosques no tienen ningún dominio raíz propiamente dicho, aunque por convenio podría considerarse el primer dominio que se creó en el bosque.
Aunque los árboles de dominio de un bosque no comparten espacios de nombres contiguos, puede sucedeer que dos árboles del mismo bosque posean un subdominio que se llame igual.
Ejemplo, un bosque donde hay dos árboles el arbol formado por el dominio raiz miempresa.com del que cuelga el subdominio contabilidad [contabilidad.miempresa.com] y el árbol formado por el dominio raiz miotraempresa.com del que cuelga un subdominio diferente que también se llama contabilidad [contabilidad.miotraempresa.com]
El uso de bosques y arboles de dominio da flexibilidad al permitir sistemas de espacios contiguos (árboles) y no contiguos (bosques). Esto puede ser muy útil por ejemplo en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.
Relación de confianza. Funcionamiento
Transitiva
Una relación de confianza se establece entre 2 dominios y permite a los usuarios de un dominio ser autentificados por el controlador de otro dominio. Las solicitudes de autentificación siguen una ruta de confianza.
Cuando el usuario de un dominio trata de acceder a un recurso de otro dominio, el sistema de seguridad de los controladores de dominio debe determinar si el dominio de confianza o confianza de salida [dominio donde inicia la sesión el usuario] tiene una relación de confianza con el dominio que confía o confianza entrante [dominio que contiene el recurso al que el usuario intenta obtener acceso]
Para determinarlo el sistema de seguridad calcula la ruta de confianza entre el controlador de dominio que confía y el controlador del dominio de confianza.
Clasificación de las relaciones
Teniendo en cuenta la ruta de confianza de una relación y si esa confianza se queda solo entre los miebros de la relación o se puede ampliar a algun miembro más podemos tener las siguientes confianzas
Unidireccional
Los usuarios del dominio A pueden acceder a los recursos del dominio B pero los usuarios del dominio B no pueden acceder a los recursos del dominio A.
![]() |
Ruta de confianza Unidireccional |
Bidireccional
Los usuarios del dominio A pueden acceder a los recursos del dominio B y los usuarios del dominio B pueden acceder a los recursos del dominio A.
Transitiva
Cuando un dominio A confía en un dominio B y éste a su vez confía en un tercer dominio C, la transitividad implica que el dominio A pasa a confiar también en el dominio C.
Las confianzas implícitas (predeterminadas) de dominios en un bosque son todas transitivas
Intransitiva
En este caso la relación se limitada a los dominios A y B y no se establece ninguna confianza "extra" con A en el caso de que B confiase en un tercer dominio
Relaciones de confianza implícitas
Son relaciones bidireccionales y transitivas que se crean Automáticamente entre dominios adyacentes, por ejemplo entre un dominio principal y otro secundario [1] o entre el dominio raíz del bosque y un dominio raiz de un árbol del bosque [2].
Las relaciones de confianza en el bosque permiten que un único proceso de inicio de sesión sirva para autenticar un usuario en todos los dominios del árbol de dominios o bosque. Esto no significa que el usuario tenga permisos y derechos para hacer lo que quiera fuera de los límites del dominio al que pertenece siendo labor administrativa concederselos si es el caso.
El hecho de que haya transitividad en las relaciones implica que usuarios y equipos pueden autentificarse en cualquier dominio del bosque.
![]() |
1.Relaciones bidireccionales y transitivas entre dominios y subdominios 2. Relaciones bidireccionales y transitivas entre dominios raiz de árboles |
Relaciones de confianza explícitas
No se crean automáticamente y en este caso, en pricipio, las crean los administradores de los dominios por diferentes razones. Para crearlas es necesario:
- Conocer los nombres de dominio
- Una cuenta de usuario auxiliar que intercambian los administradores para poder gestionar los permisos sobre un recurso al que va a acceder usuarios de un dominio externo
- Una contraseña que deben conocer los administradores de ambos dominios que quieren establecer la relación de confianza.
Entendiendo como confianza explícita aquella que se crea de forma manual, bien entre dominios del mismo bosque o bien entre dominios de bosques diferentes se tienen la siguientes relaciones:
Confianza externa
Se crea entre dominios de bosques diferentes permitiendo a los usuarios acceder a recursos ubicados en un dominio de un bosque que no es el suyo y no está unido por una confianza de bosque.
Confianza de bosque
Se crea entre dominios raíz de bosques diferentes. Esta relación dará lugar a una relación de confianza transitiva unidireccional o bidireccional entre los dominios que residan en cada bosque.
![]() |
Confianza de bosque bidireccional y transitiva |
Confianza abreviada
Se crea entre dos dominios de un bosque. En algunos casos en un bosque puede ocurrir que los dominios de los recursos queden muy alejados de los dominios de los usuarios y la autentificación se haga lenta y poco eficiente. Este tipo de relaciones optimizan el rendimiento al acortar la ruta de confianza que la seguridad de Server utiliza en la autentificación (por defecto son unidireccionales).
![]() |
Confianza abreviada |
Confianza de dominio Kerberos
Permite establecer una relación de confianza entre un dominio Kerberos que no sea Windows (Unix por ejemplo) y un dominio de Windows Server.