# Trust Account
신뢰 계정은 도메인 신뢰 관계 구성 시 리소스 접근이 허용된 도메인(신뢰받는 도메인)에 생성되는 특수 목적의 계정입니다.
PENTEST 도메인 객체들이 CONTOSO 리소스에 접근이 허용되어 있을 때 PENTEST에는 CONTOSO$ 신뢰 계정이 생성됩니다. 이러한 신뢰 계정은 로그인을 위한 계정이 아니므로 프로토콜 사용 시 인증하는 것이 불가능합니다.
{% hint style="info" %}
신뢰 계정의 NT 해시는 TDO 컨테이너의 Inter-releam Key이지만, NTLM 챌린지에는 사용하지 못합니다.
{% endhint %}
NT 해시 등을 사용하여 신뢰 계정으로 도메인에 로그인 혹은 인증하려고 하면 `STATUS_NOLOGON_INTERDOMAIN_TRUST_ACCOUNT` 코드가 반환됩니다. 이는 [Microsoft 공식 문서](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-erref/596a1078-e883-4972-9bbc-49e60bebca55)에서 규정한 오류 코드입니다.
Return value/code
Description
0xC0000198
STATUS_NOLOGON_INTERDOMAIN_TRUST_ACCOUNT
The account used is an interdomain trust account. Use your global user account or local user account to access this server.
서로 다른 도메인의 KDC 관점에서 볼 때, 각각의 KDC는 상대 도메인의 자원에 대해서 전혀 알 수 없습니다. PENTEST 도메인 객체가 CONTOSO 도메인 서비스에 접근하려 할 때, PENTEST 도메인 KDC는 자신이 알 수 없는 SPN이 요청되므로 신뢰 관계가 있는지 확인한 뒤 있다면 신뢰 계정의 TGT를 반환합니다.
TGS-REQ
TGS-REP
신뢰 계정은 이와 같이 다른 도메인에 접근할 때 TGT를 획득하여 대상 도메인에서 복호화를 할 수 있도록 지원하는 역할을 합니다.
## References
{% embed url="" %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://www.pentestwiki.com/etc/cs/trust-account.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.