# Parent child Trust

기존에 생성된 도메인의 DC를 DNS 서버로 지정한 새로운 컴퓨터를 도메인 컨트롤러로 승격 시, DNS 서버의 자식 도메인으로 지정하는 것이 가능합니다. 포레스트 내부에 더이상 상위 부모 도메인이 없는 최상위 도메인을 루트 트리라고 일컫습니다.

{% code title="트러스트 구조" %}

```
포레스트: AD-Forest.local
 ├── 트리 1
 │   └── contoso.com             ← 트리 루트
 │       └── seoul.contoso.com   ← 자식 도메인
 └── 트리 2
     └── pentest.local                  ← 트리 루트
         └── kr.pentest.local           ← 자식 도메인
             └── seoul.kr.pentest.local ← kr.pentest.local의 자식 도메인
```

{% endcode %}

위 다이어그램에서 보다시피 포레스트 안에는 여러 루트 트리가 있을 수 있고, 루트 트리 하위에는 수 많은 자식 도메인들이 있을 수 있습니다. 자식 도메인도 또 다른 자식 도메인에게는 부모 도메인이 됩니다.

<figure><img src="/files/GTDdyTNDcfjjyv80N2hB" alt=""><figcaption><p>부모 자식 신뢰</p></figcaption></figure>

부모-자식 관계가 성립되는 순간 두 도메인은 양방향 신뢰 관계가 구성됩니다. 그리고 이러한 신뢰 관계는 전이성을 갖고 있습니다. 예를 들어 위 다이어그램에서 트리2의 경우 다음과 같은 신뢰 관계가 성립됩니다.

`pentest.local ↔ kr.pentest.local ↔ seoul.kr.pentest.local`&#x20;

pentest.local과 kr.pentest.local은 서로 양방향 신뢰를 가지며, kr.pentest.local과 seoul.kr.pentest.local 역시 서로 양방향 신뢰를 갖기 때문에 pentest.local과 seoul.kr.pentest.local은 서로를 신뢰합니다.

## References

{% embed url="<https://www.xn--hy1b43d247a.com/post-exploitation/external-sid-golden-ticket#undefined-2>" %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://www.pentestwiki.com/active-directory/ad-trust/parent-child.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.