Active Directory Trusts
Active Directory 도메인 트러스트는 서로 다른 도메인 간에 인증 정보를 신뢰하고 공유할 수 있도록 설정하는 관계입니다. Microsoft에서 공식으로 주장하는 보안 경계인 포레스트를 기준으로 볼 때, 포레스트 내부에 있는 도메인은 기본적으로 전이적 양방향 신뢰 관계를 갖지만, 이 구성은 변경할 수 있습니다.
Forest
포레스트는 도메인의 집합으로 하나의 루트 도메인일 수도 있고, 여러개의 도메인이 있을 수도 있습니다. 포레스트는 Microsoft가 보안 경계로 주장하는 모델이지만, Will Schroeder의 블로그에서 이러한 주장을 비판당하기도 했습니다. 포레스트 내부 도메인 간에는 기본적으로 상호 접근이 가능하지만 포레스트는 설계 상 트러스트 관계가 아니면 접근하지 못하도록 되어있습니다.
또한 도메인 간의 트러스트 관계에서 A ↔ B ↔ C 간의 양방향 신뢰 관계는 전이적 특성 때문에 A와 C도 암묵적으로 양방향 신뢰를 갖지만, 포레스트는 전이적 특성이 적용되지 않습니다.
정보 수집
# 트러스트 모델 수집
Get-ADTrust -Filter * | Select-Object Name, Direction여기서:
Name : 신뢰 관계 도메인 이름
Direction :
Inbound : 대상 도메인이 나의 리소스에 접근 가능
Outbound : 내가 대상의 리소스에 접근 가능
Bidirectional : 서로가 서로의 리소스에 접근 가능
References
Last updated
Was this helpful?