Parent child Trust

기존에 생성된 도메인의 DC를 DNS 서버로 지정한 새로운 컴퓨터를 도메인 컨트롤러로 승격 시, DNS 서버의 자식 도메인으로 지정하는 것이 가능합니다. 포레스트 내부에 더이상 상위 부모 도메인이 없는 최상위 도메인을 루트 트리라고 일컫습니다.

포레스트: AD-Forest.local
 ├── 트리 1
 │   └── contoso.com             ← 트리 루트
 │       └── seoul.contoso.com   ← 자식 도메인
 └── 트리 2
     └── pentest.local                  ← 트리 루트
         └── kr.pentest.local           ← 자식 도메인
             └── seoul.kr.pentest.local ← kr.pentest.local의 자식 도메인

위 다이어그램에서 보다시피 포레스트 안에는 여러 루트 트리가 있을 수 있고, 루트 트리 하위에는 수 많은 자식 도메인들이 있을 수 있습니다. 자식 도메인도 또 다른 자식 도메인에게는 부모 도메인이 됩니다.

부모-자식 관계가 성립되는 순간 두 도메인은 양방향 신뢰 관계가 구성됩니다. 그리고 이러한 신뢰 관계는 전이성을 갖고 있습니다. 예를 들어 위 다이어그램에서 트리2의 경우 다음과 같은 신뢰 관계가 성립됩니다.

pentest.local ↔ kr.pentest.local ↔ seoul.kr.pentest.local

pentest.local과 kr.pentest.local은 서로 양방향 신뢰를 가지며, kr.pentest.local과 seoul.kr.pentest.local 역시 서로 양방향 신뢰를 갖기 때문에 pentest.local과 seoul.kr.pentest.local은 서로를 신뢰합니다.

References

External SID Golden Ticket | 레드팀 플레이북www.xn--hy1b43d247a.com