Question

Hola,

Tengo entendido, según lo que he leído de diferentes autores, que para administrar un dominio desde otro dominio (Usuarios y Equipos de Active Directory -> Conectar con el dominio)  hay dos requisitos:

• Relación de confianza entre los 2 dominios.
• Servidores DNS conectados si fuesen dominios que no comparten DNS.

Pero he comprobado que creando dos bosques, he configurado los reenviadores de DNS para que sea vean los 2 servidores DNS entre sí, Y SIN crear una relación de confianza entre ellos, PUEDO administrar uno desde el otro y no entiendo porqué.

Pero todavía hay algo más raro. De esa manera puedo administrar al otro dominio y crear usuarios y grupos a través de la consola Usuarios y Equipos de Active Directory, PERO si creo una relación de confianza entre los dos bosques, bidireccional, entonces puedo administrar el otro dominio como antes PERO sin tener permisos para crear usuarios ni grupos.

Estoy buscando información en español y en inglés pero no encuentro nada que me explique, ¿alguien puede ayudarme a comprender ese comportamiento?

Un saludo y gracias.

Comments

Bug ?...cuando no. Puede ser que los dominios no tengan el suficiente nivel de restricciones como para frenar el logueo anonimo o translation de SID. Suele ocurrir.

Para haber agregado la administracion de los DNS deberias tener que haber colocado usuario y pass del otro dominio o solo lo haz hecho como Conditional Forwarders ?
En vez de agregar el grupo domain admin al domain admin del otro dominio...

Answer 1

Hola Alex, no estoy seguro si el que puedas editar el otro dominio se deba a que los usuarios y las claves de ambos dominios sean iguales y por eso te lo permite, verifica que los administradores de ambos dominios tengan claves diferentes y haz la prueba nuevamente.

Es prácticamente imposible, que sin crear una relación de confianza entre 2 dominios, puedas crear usuarios y grupos sin ninguna restricción en el otro dominio.

Podrías editar tu pregunta y agregas una descripción más detallada de tu entorno junto con los nombres de dominio y los pantallazos de cómo está inicialmente sin la relación de confianza y luego con la relación de confianza.

PD: Recuerda seleccionar la mejor respuesta entre las respuestas que recibas, así apoyas a los miembros de la comunidad.

Comments

Gracias VictorBurgos. Te me has adelantado a responderme a mi mismo, justo ayer descubrí que era por el motivo que comentas, los administradores tenían mismo nombre y contraseña.

Si tienen diferente nombre y contraseña, necesitan relación de confianza entre ellos para poder administrarse de forma remota. Y además necesitan delegación de control del dominio para poder crear usuarios, grupos....

Es decir, funciona como debería si los usuarios tienen distinto nombre. Aunque me parece que eso es un pequeño hueco de seguridad, pero bueno.

Muchas gracias.