Come Funzionano Trust e TDO in Active Directory

In questo articolo vediamo il funzionamento di Trust e TDO in Active Directory, come esempio prendiamo una relazione di trust monodirezionale che viene creata tra il dominio TestA, il trusting domain che quindi accetta l’autenticazione effettuata dall’altro dominio, e il TestB, il trusted domain.

Nel momento in cui viene creata la relazione di trust Windows crea un oggetto Trusted Domain Object (TDO) nell’active directory del dominio TestA per il dominio TestB.
Questo oggetto viene chiamato TestA e come tutti gli account ha una password che è quella che viene richiesta quando si crea la trust manualmente.
Quando viene creata l’altra parte della trust un’altro oggetto TDO chiamato TestA viene creato nel dominio TestB.


Utilizzando AdsiEdit è possibile vedere gli attributi dell’oggetto TDO che si trova all’interno del contenitore CN=System nella partizione Domain.
TrustAttribute – Definisce le caratteristiche della trust
1 – Trust non transitiva
2 – Trust valida solo per computer con Windows 2000 e successivi
40 0000 – Trust con un dominio padre.
80 0000 – Trust con un dominio root.
TrustDirection – Definise la direzione della trust
1 – incoming
2 – outgoing
3 – bidirezionale
TrustPartner – Specifica il nome del dominio con cui esiste la trust.
TrustType – Specifica il tipo di trust
1 – Trust con un dominio Windows NT
2 – Trust con un dominio Windows 2003
3 – MIT trust.
4 – DCE trust.

I TDO e le password sono utilizzati per creare il secure channel tra i due domini che permette di rendere sicuro il traffico relativo all’autenticazione tra i due domini.