Imagine o seguinte cenário
Existe trust bidirecional entre o domínio popovici.lab e o domínio sbrubles.local. Porém, quero que apenas sbrubles\Admins acessem um servidor de aplicação chamado SRV-APP-01.popovici.lab. O que devemos fazer primeiro para que a configuração funcione?
Devemos habilitar o 'Selective Authentication'. pela estrutura de relação de confiança (ou Trust). Ok, mas o que é exatamente essa relação de confiança e como se comporta no Windows Server 2025?
Muito bem, pense na relação de confiança como uma comunicação com níveis de permissionamento entre duas ou mais empresas, onde suas estruturas confiam umas nas outras.
Habilitar Selective Authentication
-
O Selective Authentication é uma opção de trust do Active Directory que substitui o comportamento padrão de “Forest-wide Authentication”.
-
Quando habilitado:
-
Nenhum usuário do domínio/floresta confiável pode autenticar em recursos do domínio de destino até que receba permissão explícita.
-
A permissão é concedida via a ACE (Access Control Entry) chamada Allowed to Authenticate, configurada nos objetos de computador ou servidor de destino.
Como funciona na prática
-
Criar o trust bidirecional entre
popovici.labesbrubles.local. -
No trust, marcar a opção “Selective Authentication” em vez de “Forest-wide”.
-
No AD Users and Computers do domínio
popovici.lab:-
Localizar o objeto do computador SRV-APP-01.popovici.lab.
-
Nas propriedades de segurança, adicionar o grupo
sbrubles\Admins. -
Conceder a permissão “Allowed to Authenticate”.
-
-
Resultado:
-
Apenas os membros do grupo
sbrubles\Adminspoderão autenticar em SRV-APP-01.popovici.lab. -
Todos os outros usuários de
sbrubles.localnão terão nem a chance de autenticar.
Resumindo:
-
Trust bidirecional → conexão entre florestas.
-
sbrubles\Group1 → grupo autorizado.
-
SRV-APP-01.popovici.lab → recurso alvo.
-
Selective Authentication → garante que só o grupo designado pode autenticar, bloqueando todos os demais usuários da floresta confiável.
Com Selective Authentication + Allowed to Authenticate, o acesso fica limitado apenas ao grupo específico.
-
Abra o Active Directory Domains and Trusts (
domain.msc). -
Clique com o botão direito no domínio local (
popovici.labno exemplo). -
Vá em Properties → Aba Trusts.
-
Selecione o trust existente com
sbrubles.locale clique em Properties. Importante aqui é que para testar, você já deve ter configurado um trust entre dois domínios diferentes.
Alterar o escopo de autenticação
Na tela de propriedades do trust:
-
Aba Authentication.
-
Você verá duas opções principais:
-
Forest-wide Authentication (padrão, qualquer usuário da floresta confiável pode tentar autenticar).
-
Selective Authentication (nenhum usuário da floresta confiável pode autenticar, a menos que receba permissão explícita).
-
-
Selecione Selective Authentication e clique em OK.
Conceder permissão “Allowed to Authenticate”
Depois de habilitar a autenticação seletiva, você precisa autorizar o grupo específico:
-
Abra o Active Directory Users and Computers (
dsa.msc) no domínio de destino (popovici.lab). -
Ative a exibição de Advanced Features (menu View → Advanced Features).
-
Localize o objeto do computador que representa o servidor alvo (
SRV-APP-01). -
Clique com o botão direito → Properties → Aba Security.
-
Clique em Add → selecione o grupo da floresta confiável (
sbrubles\Admins). -
Nas permissões, habilite Allowed to Authenticate.
-
Aplique e feche.
Vamos agora entender o que vem a ser um "Trust", ou uma confiança. Um trust (confiança) no AD DS, é o recurso que permite que usuários de um domínio acessem recursos em outro domínio/floresta.
No Windows Server temos alguns tipos de trust, vamos olhar para cada um deles.
| Tipo de Trust | Escopo | Direção | Transitividade | Cenário de uso principal |
|---|
| Parent-Child | Domínio ↔ Filho | Bidirecional | Transitivo | Estrutura interna da floresta |
| Tree-Root | Raízes de árvores | Bidirecional | Transitivo | Novas árvores na floresta |
| Shortcut | Domínios na mesma floresta | Uni ou Bi | Transitivo | Reduzir latência de autenticação |
| Forest | Florestas inteiras | Bidirecional | Transitivo | Integração entre florestas |
| External | Domínios isolados | Uni ou Bi | Não transitivo | Conectar a domínios legados/externos |
| Realm | AD ↔ Kerberos Realm | Uni ou Bi | Transitivo ou não | Integração com ambientes UNIX/Linux |
Resumindo:
1. Trusts padrão (automáticos)
Criados automaticamente quando instalamos novos domínios:
-
Parent-Child Trust
-
Entre um domínio pai e um domínio filho na mesma floresta.
-
Transitivo e bidirecional por padrão.
-
-
Tree-Root Trust
-
Entre a raiz de uma nova árvore de domínios e a raiz de outra árvore existente na mesma floresta.
-
Transitivo e bidirecional.
-
2. Trusts configuráveis (manuais)
Podem ser criados entre diferentes domínios ou florestas:
-
Shortcut Trust
-
Entre dois domínios em uma mesma floresta.
-
Usado para reduzir a latência de autenticação em árvores muito grandes.
-
Transitivo e pode ser uni ou bidirecional.
-
-
Forest Trust
-
Entre duas florestas inteiras.
-
Permite acesso entre todos os domínios das florestas, dependendo da autenticação configurada:
-
Forest-wide Authentication (todos os usuários autenticados da floresta confiável podem autenticar).
-
Selective Authentication (apenas usuários/grupos autorizados via Allowed to Authenticate).
-
-
Sempre transitivo (entre florestas).
-
-
External Trust
-
Entre domínios que não pertencem à mesma floresta.
-
Geralmente usado para integração com domínios legados (NT 4.0, por exemplo).
-
Não transitivo, pode ser uni ou bidirecional.
-
-
Realm Trust
-
Entre um domínio AD e um Kerberos Realm (ex.: ambientes UNIX/Linux).
-
Pode ser uni ou bidirecional, transitivo ou não transitivo, dependendo da configuração.
-
3. Trusts especiais
-
Trust implícito dentro da floresta:
Todos os domínios de uma mesma floresta têm confiança transitiva implícita entre si. -
Atalho via SID Filtering (segurança extra):
Não é um tipo de trust separado, mas uma configuração de segurança que controla se SIDs adicionais (de domínios externos) podem ser usados para acessar recursos.
