Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El netdom trust comando permite a los administradores administrar, establecer, comprobar o restablecer relaciones de confianza entre dominios. Está disponible si tiene instalado el rol de servidor active Directory Domain Services (AD DS). También está disponible si instala las herramientas de AD DS que forman parte de las Herramientas de administración remota del servidor (RSAT). Para obtener más información, vea Cómo administrar equipos cliente y servidor de Microsoft Windows de forma local y remota.
Para usar netdom trust, debe ejecutar el comando desde un símbolo del sistema con privilegios elevados.
Note
El netdom trust comando no se puede usar para crear una confianza de bosque entre dos bosques de AD DS. Para crear una confianza entre bosques entre dos bosques de AD DS, use el complemento Dominios y confianzas de Active Directory para crear y administrar las confianzas de bosque. La solución de scripting, como el uso de PowerShell, también es una opción para administrar estos tipos de confianzas si necesita automatizar el proceso.
Syntax
netdom trust trusting_domain_name /Domain:trusted_domain_name [/UserD:user]
[/PasswordD:[password | *]] [/UserO:user] [/PasswordO:[password | *]]
[/Verify] [/Reset] [/PasswordT:new_realm_trust_password]
[/Add] [/Remove] [/Twoway] [/Realm] [/Kerberos]
[/Transitive[:{yes | no}]]
[/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]]
[/NameSuffixes:trust_name [/ToggleSuffix:#]]
[/EnableSIDHistory[:{yes | no}]] [/ForestTransitive[:{yes | no}]]
[/CrossOrganization[:{yes | no}]] [/AddTLN:TopLevelName]
[/AddTLNEX:TopLevelNameExclusion] [/RemoveTLN:TopLevelName]
[/RemoveTLNEX:TopLevelNameExclusion] [/SecurePasswordPrompt]
[/EnableTgtDelegation[:{yes | no}]] [/EnablePIMTrust[:{yes | no}]]
[/AuthTargetValidation[:{yes | no}]] [/ChildDomain:childdomainname]
[/InvokeTrustScanner]
Parameters
| Parameter | Description |
|---|---|
<TrustingDomainName> |
Especifica el nombre del dominio de confianza. |
/domain:<TrustedDomainName> |
Especifica el nombre del dominio de confianza o del dominio que no es de Windows. Si no se especifica, se usa el dominio actual al que pertenece el equipo actual. |
/userd:<User> |
Especifica la cuenta de usuario que se va a usar para la conexión con el dominio especificado mediante el /domain parámetro . El valor predeterminado es la cuenta de usuario actual si no se especifica. |
/passwordd:<Password> | * |
Especifica la contraseña de la cuenta de usuario usada con /userd. Use * para solicitar la contraseña. |
/usero:<User> |
Especifica la cuenta de usuario que se va a usar para la conexión con el dominio de confianza. El valor predeterminado es la cuenta de usuario actual si no se especifica. |
/passwordo:<Password> | * |
Especifica la contraseña de la cuenta de usuario usada con /usero. Use * para solicitar la contraseña. |
/verify |
Comprueba los secretos de canal seguro para una relación de confianza específica. |
/reset |
Restablece el secreto de confianza entre dominios de confianza o entre el controlador de dominio (DC) y la estación de trabajo. |
/passwordt:<NewRealmTrustPassword> |
Establece una nueva contraseña de confianza. Esta opción solo es válida con los /add parámetros o /reset y solo si uno de los dominios especificados es un dominio kerberos que no es de Windows. La contraseña de confianza solo está configurada en el dominio de Windows, por lo que no se requieren credenciales para el dominio que no es de Windows. |
/add |
Crea una confianza. |
/remove |
Quita una confianza. |
/twoway |
Establece una relación de confianza bidireccional. |
/realm |
Crea la confianza para un dominio kerberos que no es de Windows. Válido solo con el /add parámetro . El parámetro /passwordt es obligatorio. |
/kerberos |
Usa el protocolo Kerberos para comprobar la autenticación entre una estación de trabajo y el dominio especificado. Requiere credenciales para los dominios de origen y de destino. |
/transitive:Yes | No |
Solo se aplica a las confianzas de dominio kerberos que no son de Windows. Use yes para que la confianza sea transitiva o no para que no sea transitiva. Si no se especifica, muestra la configuración de transitividad actual. |
/oneside:trusted | trusting |
Especifica que la operación de confianza debe realizarse solo en un lado de la relación de confianza. Use trusted para aplicar la operación al dominio especificado con el parámetro (el /domain dominio de confianza) o úselo trusting para aplicarla al dominio de "confianza". Esta opción solo es válida con los /add parámetros y /remove . Cuando se usa con /add, también se requiere el /passwordt parámetro . - Trusted Domain: This is the domain that is being trusted. En una relación de confianza, el dominio de confianza permite a los usuarios del dominio de confianza acceder a sus recursos. A los usuarios del dominio de confianza se les conceden determinados permisos o acceso dentro del dominio de confianza. - Trusting Domain: This is the domain that trusts another domain (the trusted domain). Básicamente significa que el dominio de confianza está ampliando su confianza a los usuarios del dominio de confianza, lo que les permite acceder a los recursos dentro del dominio de confianza. |
/force |
Quita tanto el objeto de dominio de confianza como el objeto de referencia cruzada del bosque. El nombre DNS completo debe especificarse para el dominio. Válido con el /remove parámetro y, si se especifica, se quita un dominio secundario. |
/quarantine:Yes | No |
Establece o borra el atributo de cuarentena de dominio. Si no se especifica, muestra el estado actual.
Yes solo acepta SID del dominio de confianza directo.
No acepta cualquier SID (valor predeterminado). Al especificar /quarantine sin una opción, se muestra el estado actual. |
/namesuffixes:<TrustName> |
Enumera los sufijos de nombre enrutados para la confianza especificada. Este parámetro solo es válido para una confianza de bosque o una relación de confianza transitiva de bosque que no sea de Windows. Use /usero y /passwordo para la autenticación si es necesario. El /domain parámetro no es necesario para esta operación. |
/togglesuffix:# |
Use este parámetro con /namesuffixes para habilitar o deshabilitar un sufijo de nombre específico. Especifique el número de la entrada de nombre tal como se muestra en la salida del comando anterior /namesuffixes . No se puede cambiar el estado de los nombres que están en conflicto hasta que se deshabilite el nombre en conflicto en la otra confianza. Siempre se ejecuta /namesuffixes inmediatamente antes /togglesuffix porque el orden de las entradas de nombre puede cambiar. |
/enablesidhistory:Yes | No |
Habilita (Yes) o deshabilita (No) los usuarios migrados del bosque de confianza para usar el historial de SID para acceder a los recursos. Válido solo para las confianzas de bosque saliente. Habilitar solo si confía en los administradores del bosque de confianza. Si no se especifica una opción, se muestra el estado actual. |
/foresttransitive:Yes | No |
Marca la confianza como transitiva de bosque (sí) o no (no). Solo es válido para las confianzas de AD y las confianzas que no son de dominio de Windows solo en el dominio raíz de un bosque. Si no se especifica, muestra el estado actual. |
/selectiveauth:Yes | No |
Habilita (Yes) o deshabilita (No) la autenticación selectiva en toda la confianza. Válido solo en el bosque saliente y las confianzas externas. Si no se especifica, muestra el estado actual. |
/addtln:<TopLevelName> |
Agrega el sufijo DNS de nivel superior especificado a la información de confianza del bosque para la confianza. Válido solo para una confianza de dominio no de Windows transitiva de bosque y solo en el dominio raíz de un bosque. Ejecute /namesuffixes para obtener una lista de sufijos de nombre. |
/addtlnex:<TopLevelNameExclusion> |
Agrega la exclusión de nombres de nivel superior especificada (sufijo de nombre DNS) a la información de confianza del bosque para la confianza. Válido solo para una confianza de dominio no de Windows transitiva de bosque y solo en el dominio raíz de un bosque. Ejecute /namesuffixes para obtener una lista de sufijos de nombre. |
/removetln:<TopLevelName> |
Quita el sufijo de nombre DNS de nivel superior especificado de la información de confianza del bosque para la confianza. Válido solo para una confianza de dominio no de Windows transitiva de bosque y solo en el dominio raíz de un bosque. Ejecute /namesuffixes para obtener una lista de sufijos de nombre. |
/removetlnex:<TopLevelNameExclusion> |
Quita la exclusión de nombres de nivel superior especificada (sufijo de nombre DNS) de la información de confianza del bosque para la confianza. Válido solo para una confianza de dominio no de Windows transitiva de bosque y solo en el dominio raíz de un bosque. Ejecute /namesuffixes para obtener una lista de sufijos de nombre. |
/securepasswordprompt |
Abre un menú emergente de credenciales seguras para escribir las credenciales. Esto resulta útil al especificar credenciales de tarjeta inteligente. Esta opción solo es efectiva cuando la contraseña se escribe como *. |
/enabletgtdelegation:Yes | No |
Habilita (Yes) o deshabilita (No) la delegación completa de Kerberos en las confianzas de bosque saliente. Cuando se establece en No, se bloquea la delegación completa de Kerberos, lo que impide que los servicios del otro bosque reciban vales de concesión de vales reenviados (TGT). Disabling this option means that services in the other forest configured for "Trust this computer/user for delegation to any service" isn't able to use Kerberos full delegation with any account in this forest. |
/enablepimtrust:Yes | No |
Habilita () o deshabilita losYesNo comportamientos de confianza de Privileged Identity Management (PIM) para esta confianza. La confianza debe marcarse como transitiva de bosque antes de habilitar este atributo. Si /enablepimtrust se especifica sin Yes o No, se muestra el estado actual de este atributo. |
/authtargetvalidation:Yes | No |
Habilita (Yes) o deshabilita (No) la validación de destino de autenticación para las solicitudes de autenticación en la confianza especificada. En el caso de las confianzas de bosque, puede limitar esta configuración a un dominio secundario específico mediante el /childdomain parámetro . Disabling this validation might expose your environment to security risks from the remote forest and should only be done when necessary. |
/childdomain:<ChildDomainName> |
Use para dirigirse a un dominio secundario dentro de una estructura de dominio mayor al realizar operaciones relacionadas con la confianza para asegurarse de que la operación de confianza se aplica directamente al dominio secundario. Este parámetro es útil en escenarios en los que se necesita un control preciso sobre las relaciones de confianza en entornos de dominio complejos. |
/invoketrustscanner |
Inicia un examen de confianza para el dominio de confianza especificado. Si el dominio de confianza está establecido *en , se examinan todas las confianzas. Este comando se debe ejecutar localmente en el controlador de dominio principal. Normalmente, el analizador de confianza se ejecuta automáticamente. Use este comando solo con fines de solución de problemas o soporte técnico. |
help | /? |
Muestra ayuda en el símbolo del sistema. |
Examples
To set the domain USA-Chicago to trust the domain NorthAmerica, run the following command:
netdom trust USA-Chicago /domain:NorthAmerica /add /userd:NorthAmerica\admin /passwordd:* /usero:USA-Chicago\admin /passwordo:*
To establish a two-way trust between the engineering.contoso.com domain and the marketing.contoso.com domain, run the following command:
netdom trust engineering.contoso.com /domain:marketing.contoso.com /add /twoway /usero:admin@engineering.contoso.com /passwordo:* /userd:admin@marketing.contoso.com /passwordd:*
To establish a one-way trust where the NorthAmerica domain trusts the non-Windows Kerberos realm ATHENA, run the following command:
netdom trust NorthAmerica /domain:ATHENA /add /passwordt:* /realm
Note
La comprobación de una relación de confianza específica requiere credenciales a menos que el usuario tenga privilegios de administrador de dominio en ambos dominios.
If you want to set the Kerberos realm ATHENA to trust the NorthAmerica domain, run the following command:
netdom trust NorthAmerica /domain:ATHENA /add /realm
To undo (remove) the trust that USA-Chicago has with NorthAmerica, run the following command:
netdom trust USA-Chicago /domain:NorthAmerica /remove
To reset the secure channel for the one-way trust between NorthAmerica and USA-Chicago, run the following command:
netdom trust USA-Chicago /domain:NorthAmerica /userd:NorthAmerica\admin /passwordd:* /reset
To verify that the trust relationship between the MyDomain domain and the devgroup.example.com domain supports Kerberos authentication, run the following command:
netdom trust MyDomain /domain:devgroup.example.com /verify /kerberos /userd:devgroup\admin /passwordd:* /usero:MyDomain\admin /passwordo:*
Note
No puede ejecutar esta operación de confianza desde una ubicación remota. Debe ejecutar la operación en la estación de trabajo que desea probar.
Para habilitar o deshabilitar el primer sufijo de nombre enrutado en la lista generada por el comando anterior, ejecute el siguiente comando:
netdom trust myTestDomain /domain:foresttrustpartnerdomain /namesuffixes /togglesuffix:1
Solo puede agregar un sufijo de nombre DNS para una confianza que sea una confianza transitiva de dominio no de Windows transitiva de bosque. La misma restricción se aplica a los parámetros para administrar el enrutamiento de sufijos de nombres dentro de una confianza de bosque:
/addtln/addtlnex/removetln/removetlnex