트러스트
트러스트는 도메인 간에 설정한 관계로, 한 도메인의 사용자가 다른 도메인의 도메인 컨트롤러에서 인증될 수 있도록 합니다.
Windows NT의 트러스트
Windows NT 4.0 운영 체제에서 트러스트는 두 도메인으로 제한되며 트러스트 관계는 전이적이고 단방향입니다. 다음 그림에서 트러스트된 도메인을 가리키는 직선 화살표로 비전이적 단방향 트러스트를 나타냅니다.
Windows 2000 Server, Windows Server 2003, Windows Server 2008 및 Windows Server 2008 R2 운영 체제의 트러스트
Windows 2000 Server, Windows Server 2003, Windows Server 2008 및 Windows Server 2008 R2 포리스트의 모든 트러스트는 전이적 양방향 트러스트입니다. 따라서 트러스트 관계의 두 도메인이 트러스트됩니다. 다음 그림과 같이 도메인 A가 도메인 B를 트러스트하고 도메인 B가 도메인 C를 트러스트하는 경우 도메인 C의 사용자는 적절한 사용 권한이 할당된 경우 도메인 A의 리소스에 액세스할 수 있습니다. Domain Admins 그룹의 구성원만 트러스트 관계를 관리할 수 있습니다.
트러스트 프로토콜
Windows Server 2008 또는 Windows Server 2008 R2를 실행하는 도메인 컨트롤러는 Kerberos V5(버전 5) 프로토콜이나 NTLM 프로토콜을 사용하여 사용자 및 응용 프로그램을 인증합니다. Kerberos V5 프로토콜은 Windows 2000, Windows XP Professional, Windows Server 2003, Windows Server 2008 또는 Windows Server 2008 R2를 실행하는 컴퓨터의 기본 프로토콜입니다. 트랜잭션의 컴퓨터에서 Kerberos V5 프로토콜을 지원하지 않으면 NTLM 프로토콜이 사용됩니다.
클라이언트는 Kerberos V5 프로토콜을 사용하여 계정 도메인의 도메인 컨트롤러로부터 트러스팅 도메인의 서버까지 티켓을 요청합니다. 이 티켓은 클라이언트 및 서버가 트러스트하는 중개자가 발급합니다. 클라이언트는 인증을 받기 위해 트러스팅 도메인의 서버에 이 트러스트된 티켓을 제공합니다. 자세한 내용은 Kerberos V5 인증(
클라이언트가 NTML 인증을 사용하여 다른 도메인의 서버에 있는 리소스에 액세스할 때 해당 리소스를 포함하는 서버는 클라이언트 계정 도메인의 도메인 컨트롤러에 연결하여 계정 자격 증명을 확인해야 합니다.
트러스트된 도메인 개체
TCO(트러스트된 도메인 개체)는 특정 도메인 내에서 각 트러스트 관계를 나타내는 개체입니다. 트러스트가 설정될 때마다 고유한 TDO가 만들어져 해당 도메인(System 컨테이너)에 저장됩니다. 트러스트 전이성, 종류 및 상호 도메인 이름과 같은 특성이 TDO에 나와 있습니다.
포리스트 트러스트 TDO는 파트너 포리스트에서 트러스트된 모든 네임스페이스를 식별하기 위해 추가 특성을 저장합니다. 이러한 특성에는 도메인 트리 이름, UPN(사용자 계정 이름) 접미사, SPN(서비스 사용자 이름) 접미사 및 SID(보안 식별자) 네임스페이스가 포함됩니다.
도메인 트러스트에 대한 자세한 내용은 트러스트 기술(