Đồ án Trust Relationship

BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM KHOA KHOA HỌC và KỸ THUẬT MÁY TÍNH ĐỒ ÁN ACTIVE DIRECTORY “TÌM HIỂU VỀ TRUST RELATIONSHIP” Giảng viên hướng dẫn : Sinh viên thực hiện: Lớp : Khóa: TP.Hồ Chí Minh ,tháng ... năm … BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM KHOA KHOA HỌC và KỸ THUẬT MÁY TÍNH ĐỒ ÁN ACTIVE DIRECTORY “TÌM HIỂU VỀ TRUST RELATIONSHIP” Giảng viên hướng dẫn : Sinh viên thực hiện: Lớp : Khóa: TP.Hồ Chí Minh ,tháng ... năm … MỞ ĐẦU Trust relationship là một liên kết luận lý được thiết lập giữa các hệ thống domain, giúp cho cơ chế chứng thực giữa các hệ thống domain có thể được thừa hưởng lẫn nhau. Trust relationship giải quyết bài toán “single sign-on” - logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các domain, dịch vụ triển khai trên 1 domain có thể được truy cập từ user thuộc domain khác. Trong đồ án này nhóm chúng em sẽ nghiên cứu về các loại trust và chức năng hoạt động của từng loại cũng như ý nghĩa của chúng được áp dụng trong thực tế như thế nào. Nội dung của đồ án này như sau : Chương I : Tổng Quan về Active Directory . Chương II : Trust Relationship Chương III : Lab Demo LỜI CẢM ƠN Trước tiên nhóm chúng em xin cảm ơn thầy Hoàng Đình Hạnh đã giúp chúng em hoàn thành đồ án học phần 1 .Trong quá trình thực hiện đồ án thầy đã nhiệt tình hướng dẫn và chỉ bảo những điểm còn thiếu và sai sót trong quá trình thực hiện đồ án này. Ngoài ra nhóm chúng em cũng xin cảm ơn Khoa Khoa Học và Kỹ Thuật Máy Tính đã hỗ trợ rất nhiều cho sinh viên chúng em trong quá trình thực hiện đồ án học phần. NHẬN XÉT (Của giảng viên hướng dẫn) …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. NHẬN XÉT (Của giảng viên phản biện) …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. …................................................................................................. MỤC LỤC Mở đầu : Trang Chương I : Tổng Quan Về Active Directory 1. Sơ lượt về Active Directory 1 2. Các thành phần trong Active Directory 3 Chương II : Trust Relationship Khái niệm về trust relationship 1. Tìm hiểu về Trust Relationship 4 2. Mối quan hệ tin cậy trong hệ điều hành Windows 2000 Server,Windows Server 2003 và Windows Server 2008 6 3. Tin tưởng giao thức (Trust protocols) 7 4. Trusted miền đối tượng (Trusted domain objects) 7 Các đặc tính của trust relationship 1. Explicitly or Implicitly 8 2. Transitive or Non-transitive 8 3. Trust direction 8 Các loại Trust Relationship 1.Tree/root Trust. 10 2.Parent/child Trust. 10 3.Shortcut Trust. 11 4.Reaml Trust. 12 5.External Trust. 13 6.Forest Trust. 13 Các họat đông của Trust Relationship 1.Hoạt động của Trust Relationship trong một forest. 15 2.Hoạt động của Trust Relationship giữa các forest. 16 Chương III: Lab Demo 1.Mô hình lab demo 18 2.Thực hiện lab demo 19 DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH
Chương I : Tổng Quan Active Directory Sơ lượt về Active directory -Active Directory có thể được cài đặt trên máy chủ chạy Microsoft ® Windows Server ® 2003, Standard Edition, Windows Server 2003, Enterprise Edition; và Windows Server 2003, Datacenter Edition. Và Windows Server 2008 mới được phát hành sau này. -Active Directory lưu trữ thông tin về các đối tượng trên mạng và làm cho thông tin này dễ dàng cho người quản trị viên và người sử dụng để tìm và sử dụng. Active Directory sử dụng lưu trữ dữ liệu theo cấp bậc, thông tin thư mục. - Việc lưu trữ dữ liệu này, được biết đến như là thư mục, chứa thông tin về đối tượng Active Directory. Những đối tượng này thường bao gồm các nguồn tài nguyên được chia sẻ như là các máy chủ, ổ đĩa, máy in, và người sử dụng mạng và các tài khoản máy tính. -Bảo mật được tích hợp trên Active Directory là xác thực thông qua đăng nhập và kiểm soát truy cập vào các đối tượng trong thư mục. Với một mạng đơn lẻ, quản trị viên có thể quản lý dữ liệu thư mục và tổ chức trên toàn mạng của họ, và người sử dụng mạng có thẩm quyền có thể truy cập tài nguyên bất cứ nơi nào trên mạng. Dựa trên các chính sách thi hành giúp giảm bớt cho việc quản lý của mạng thậm chí là phức tạp nhất. Tóm lại : -Active Directory có thể được coi là một điểm phát triển mới so với Windows 2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003 và Windows Server 2008 sau này, trở thành một phần quan trọng của hệ điều hành. Windows Server 2003 và Windows Server 2008 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và permission. -Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng. ** Active Directory bao gồm : Một tập hợp các quy tắc, lược đồ , định nghĩa cho lớp của các đối tượng và thuộc tính chứa trong thư mục, các rằng buộc và giới hạn về trường hợp của các đối tượng, và định dạng tên của họ. Một global catalog,chứa thông tin về mỗi đối tượng trong thư mục.Điều này cho phép người sử dụng và quản trị để tìm thông tin thư mục bất kể trong đó có tên miền trong thư mục thực sự chứa các dữ liệu. Một truy vấn và các chỉ số cơ chế, do đó, đối tượng và thuộc tính của họ có thể được xuất và tìm bởi người sử dụng mạng hoặc ứng dụng . Dịch vụ Replication là 1 dịch vụ phân phối thư mục dữ liệu qua mạng.Tất cả các Domain Controller trong một domain tham gia vào việc nhân rộng và có chứa một bản sao đầy đủ của tất cả các thông tin thư mục cho tên miền của mình. Bất kỳ sự thay đổi nào vào thư mục dữ liệu được nhân rộng đến tất cả các bộ điều khiển miền trong miền. Về việc hổ trợ cho phần mềm Active Directory cũa khách hàng ,mà làm cho nhiều tính năng trên Microsoft ® Windows ® 2000 Professional hoặc Windows XP Professional có thể chạy Windows 95, Windows 98, và Windows NT ® Server 4.0. Các thư mục sẽ xuất hiện như một thư mục Windows NT  **Những đơn vị cơ bản của Active Directory : -Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị hay cấu trúc mục. Bốn đơn vị này được chia thành forest, domain, organizational unit và site. Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong Active Directory. Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và một cơ sở dữ liệu của các thành viên của chúng. Organizational unit (OU): Nhóm các mục trong miền nào đó. Chúng tạo nên một kiến trúc thứ bậc cho miền và tạo cấu trúc công ty của Active Directory theo các điều kiện tổ chức và địa lý. Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU. Các Site phân biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet. 1.2.Các thành phần trong Active Directory : -Các dịch vụ miền của Active Directory (Active Directory Domain Services) - trước đây vẫn được biết đến là Active Directory - và Identity Management trong Windows Server 2008 hiện có một số dịch vụ khác: Active Directory Domain Services (AD DS) Active Directory Federation Services (AD FS) Active Directory Lightweight Directory Services (AD LDS) Active Directory Rights Management Services (AD RMS). Active Directory Certificate Services (AD CS) -Mỗi dịch vụ trên lại có một Server Role, một khái niệm mới trong Windows Server 2008. -Chúng ta sẽ bắt đầu tim hiểu 1 phần trong Active Directory Domain Services (AD DS) đó là Trust Relationship. Chương II :Trust Relationship I.Khái niệm về trust relationship : 1.Tìm hiểu về trust relationship : -Khi quản trị một hệ thống lớn gồm nhiều domain, chúng ta có nhu cầu cho các user có thể logon làm việc tại nhiều domain khác nhau hay truy cập dịch vụ trên một domain bất kì mà không cần phải trực tiếp logon làm việc trên domain đó. Hình 1:Mô hình giữa 2 forest -Một công ty có 2 domain pcd.com và domain hvd.com nằm trong 2 forest riêng biệt. Domain pcd.com có user phanchidung và file server chứa dữ liệu trong toàn công ty. Domain hvd.com có user huynhvandung. Khi phanchidung logon trên domain pcd.com, phanchidung có thể truy cập tài nguyên trên file server trực tiếp. Còn huynhvandung do thuộc domain hvd.com nên không thể truy cập file server bên domain pcd.com. Để giải quyết vấn đề trên ta có thể lên domain pcd.com tạo cho huynhvandung 1 account nữa để huynhvandung cung cấp cho domain pcd.com chứng thực mỗi khi truy cập vào file server. Vậy là mỗi user bên domain hvd.com sẽ có 2 account, dẫn đến số lượng account phải quản lí tăng lên đáng kể. Để duy trì số lượng account cho mỗi user ở domain hvd.com như ban đầu (không cần tạo thêm bên domain pcd.com) mà các user bên domain hvd.com vẫn có thể truy cập trực tiếp file server bên domain pcd.com thì ta phải tạo ra mối liên kết giữa 2 domain, chính là Trust Relationship. Tạo ra trust relationship giữa 2 domain pcd.comvà domain hvd.com sẽ giúp các domain có thể thừa hưởng quá trình chứng thực của nhau, user huynhvandung có thể logon trên cả 2 domain, truy cập trực tiếp file server trên domain pcd.com cho dù đang logon làm việc trên domain hvd.com. Trust relationship là một liên kết luận lý được thiết lập giữa các hệ thống domain, giúp cho cơ chế chứng thực giữa các hệ thống domain có thể được thừa hưởng lẫn nhau. Trust relationship giải quyết bài toán “single sign-on” - logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các domain, dịch vụ triển khai trên 1 domain có thể được truy cập từ user thuộc domain khác. -Trong một trust relationship cần phải có 2 domain. Domain được tin tưởng gọi là trusted domain, còn domain tin tưởng domain kia gọi là trusting domain. Hình 2: Trusting và Trusted -Cơ chế trust relationship giúp đảm bảo các đối tượng (user, ứng dụng hay chương trình) được tạo ra trên một trusted domain có thể được chứng thực đăng nhập hay truy cập tài nguyên, dịch vụ trên trusting domain. Tuy nhiên, trên hệ thống Windows hỗ trợ đến 6 loại trust relationship với các đặc tính và ứng dụng khác nhau. Bao gồm các loại trust sau đây : 1.Tree/Root Trust 2.Parent/Child Trust 3.Shortcut Trust 4.Realm Trust 5.External Trust 6.Forest Trust Hình 3: Mối quan hệ về các loại trust 2.Mối quan hệ tin cậy trong hệ điều hành Windows 2000 Server,Windows Server 2003 và Windows Server 2008 : Mọi sự tin cậy trong Windows 2000 Server , Windows Server 2003 và Windows Server 2008 trong cùng forest là có tính bắc cầu ( hay còn gọi là transistive), tin cậy 2 chiều..Do đó cả 2 lĩnh vực trong một mối quan hệ tin cậy được tin cậy.Như hình minh họa ở dưới đây : có nghĩa là nếu domain A trust domain B và domain B trust domain C thì người dùng trên domain C có thể truy cập tài nguyên trong miền A (khi n các người dùng này được cấp quyền thích hợp).Chỉ duy nhất các thành viên của nhóm Domains Admin mới được phép quản lý Trust Relationship. Hình 4:Mối quan hệ 3.Tin tưởng giao thức (Trust protocols) : Một domain controller chạy Windows Server 2008 xác thực người dùng và các ứng dụng sử dụng một trong 2 giao thức là Kerberos 5(V5) hoặc giao thức NTLM.Giao thức Kerberos 5(V5) là một giao thức mặc định cho máy tính chạy Windows 2000 ,Windows XP Professional ,Windows Server 2003 hoặc Windows Server 2008.Nếu bất kỳ một máy tính trong một giao dịch không hỗ trợ giao thức Kerberos 5 (V5) thì giao thức NTLM sẽ được sử dụng. Với giao thức kerberos thì người dùng sẽ yêu cầu một tấm vé thông hành từ domain controller trong miền tài khoản của mình đến các máy chủ trusting domain.Vé này đựoc phát hành bời 1 trung gian đó là trusted về phía người dùng và máy chủ. Người dùng hiện diện có tấm vé tin cậy này sẽ dùng nó để chứng thực trên domain được tin tưởng (Trusting Domain). Khi 1 người dùng cố gắn truy cập tài nguyên trên một máy chủ trong tên miền khác bằng cách sử dụng việc xác thực bằng giao thức NTLM ,máy chủ chứa tài nguyên phải liên hệ với bộ điều khiển miền trong miền tài khoản ngừoi dùng để xác minh các tài khoản này. 4.Trusted miền đối tượng (Trusted domain objects) : Trusted domain objects(TDOs) là đối tượng mà đại diện cho mỗi mối quan hệ tin tưởng trong một tên miền cụ thể .Mỗi một sự tin tưởng đó được thiết lập .Một TDO duy nhất đuợc tạo ra và được lưu trữ trong domain của mình (trong container hệ thống) .Thuộc tính như là trust transistivity (mối quan hệ có tính bắc cầu ) ,loại,và các tên miền qua lại được đại diện trong TDO. Forest trust TDOs lưu trữ các thuộc tính bổ sung để xác định tất cả các không gian tên đáng tin cậy từ đối tác của mình trong forest.Các cây thuộc tính này bao gồm tên miền,tên chính của người sử dụng (UPN),dịch vụ tên chính (SPN) và nhận diện bảo mật (SID). II.Các đặc tính của Trust Relationship : 1. Explicitly or Implicitly (tường minh hay ngầm định) -Explicitly trust là loại liên kết tường minh, do người quản trị thiết lập bằng tay. **Ví dụ như shortcut trust, external trust.  -Implicitly trust là loại liên kết ngầm định, do hệ thống thiết lập tự động. **Ví dụ như parent/child trust, tree/root trust. 2. Transitive or Non-transitive (có tính bắc cầu hay không có tính bắc cầu) -Transitive trust là loại liên kết mà mối liên kết không chỉ giới hạn giữa hai domain tham gia trực tiếp mà còn mở rộng ra những domain liên quan. Quan sát hình 3, domain D trust trực tiếp domain E, còn domain E lại trust trực tiếp domain F và cả hai đều là transitive trust thì domain D cũng trust gián tiếp domain F và ngược lại. Transitive trust được hệ thống thiết lập tự động, một trong những ví dụ về loại trust này là parent/child trust (liên kết giữa domain cha và domain con).  -Non-transitive trust có tính chất ngược với transitive trust, loại liên kết này chỉ giới hạn trong hai domain tham gia trực tiếp vào liên kết chứ không mở rộng ra các domain liên quan với hai domain đó. Non-transitive trust không được hệ thống thiết lập tự động. Ví dụ điển hình về non-transitive trust là external trust, liên kết giữa 2 domain thuộc 2 forest khác nhau. 3. Trust direction (chiều của liên kết) : -Các loại trust và hướng chỉ định của nó ảnh hưởng đến con đường tin cậy cho việc chứng thực.Một dường dẫn tin cậy là một loạt các mối quan hệ tin tưởng rằng yêu cầu chứng thực phải tuân theo sự cho phép giữa các tên miền.Trước khi một người dùng có thể truy cập vào tài nguyên của một miền khác ,hệ thống bảo mật trên bộ điều khiển miền đang chạy Windows Server 2008 phải xác định xem liệu các tên miền tin tưởng (Tên miền mà chứa các tài nguyên mà người dùng đang cố gắn truy cập) có một mối quan hệ tin cậy (trust relationship) với các tên miền tin cậy không (Trusted domain) .Để xác định này, hệ thống bảo mật máy tính có đường dẫn tin cậy giữa 1 domain controller trong miền tin tưởng và 1 domain controller trong miền tin cậy.Như hình minh họa dưới đây : Hình 5 : Mối quan hệ trusting domain và trusted domain  -Tất cả các domain có mối quan hệ tin tưởng (Trust relationship) chỉ có 2 lĩnh vực trong mối quan hệ là Trusting Domain( Tin tưởng Domain) và Trusted Domain (Domain được tin tưởng) -Trong Windows Server 2003 và Windows Server 2008, có 3 loại trust direction: one-way incoming, one-way outgoing, two-way. **Ví dụ như trên hình 3, ta thấy trust relationship giữa domain B và domain Q là một chiều (one-way). Đứng trên domain B, nếu ta thiết lập one-way incoming trust thì các đối tượng trên domain B sẽ được chứng thực trên domain Q; còn nếu ta thiết lập one-way outgoing trust thì các đối tượng trên domain Q sẽ được chứng thực trên domain B. Cuối cùng, nếu ta thiết lập two-way trust thì các đối tược trên cả hai domain sẽ được chứng thực trên domain đối phương. -Trên Windows 2000 thì liên kết trust chỉ có one-way và non-transitive. Do vậy, để tạo ra liên kết cho một hệ thống lớn, người quản trị cần thiết lập và quản lý nhiều trust relationship. Bắt đầu từ Windows Server 2003 và Windows Server 2008 thì trust relationship có 3 đặc tính trên đã đơn giản hóa công việc và giảm thiểu nhiều công sức quản lý cho người quản trị. **Một domain Windows Server 2008 có thề thiết lập một chiều hoặc 2 chiều với các domain và realms như sau : Windows Server 2008 domains trong cùng 1 forest . Windows Server 2008 domains ở 1 forest khác. Windows Server 2003 domains trong cùng 1 forest . Windows Server 2003 domains trong 1 forest khác. Windows NT 4.0 domains Kerberos version 5 (V5) realms III.Các loại Trust Relationship : 1. Tree/root trust: hệ thống tự thiết lập khi ta đưa thêm một tree root domain vào trong một forest có sẵn. Như hình 6, khi ta đưa tree của domain D vào forest 1. Ba đặc tính: implicitly, transitive và two-way. Hình 6:Mô hình Tree/Root Trust 2. Parent/child trust: hệ thống tự thiết lập khi ta đưa thêm một child domain vào trong một tree có sẵn. Như hình 7, khi ta dựng lên domain E là con của domain D, hoặc dựng domain F là con của domain E. Ba đặc tính: implicitly, transitive và two-way. Hình 7: Mô hình Parent/Child Trust 3. Shortcut trust: được người quản trị thiết lập giữa hai domain trong cùng 1 forest để giảm bớt các bước chứng thực cho đối tượng. Ví dụ trong hình 8, khi chưa thiết lập shortcut trust giữa domain A và domain E thì các đối tượng bên domain A vẫn có thể được chứng thực trên E nhưng quá trình chứng thực phải đi qua các domain E – domain D – forest (root) – domain A. Để rút ngắn quá trình chứng thực, ta thiết lập shortcut trust giữa domain A và domain E để quá trình có thể diễn ra trực tiếp. Ba đặc tính: explicitly, transitive và có thể là one-way hay two-way. -Tính chất transitive của shortcut trust chỉ ảnh hưởng lên những domain con của 2 domain tham gia vào liên kết. Nghĩa là với shortcut trust giữa domain E và domain A, các đối tượng thuộc domain F và domain C cũng được rút ngắn giai đoạn chứng thực thông qua liên kết đó. Tuy nhiên, các đối tượng thuộc domain D và forest (root) là các domain cha của domain tham gia vào liên kết sẽ không được chứng thực thông qua liên kết.  Shortcut trust còn được gọi là cross-link trust.  Hình 8 : Mô hình về Shortcut Trust  4. Realm trust: được người quản trị thiết lập giữa một hệ thống không sử dụng hệ điều hành Windows và hệ thống domain Windows Server 2008. Điều kiện là hệ thống không sử dụng hệ điều hành Windows phải có giao thức chứng thực được hỗ trợ tương thích với giao thức Kerberos v5 của Windows Server 2008. Loại liên kết này giúp mở rộng khả năng liên kết của Windows tới các hệ thống khác. Ba đặc tính: explicitly, có thể là transitive hay non-transitive, one-way hay two-hay.Như hình vẽ mô tả sau : Hình 9 : Mô hình về Reaml Trust 5. External trust: được người quản trị thiết lập để liên kết hai domain thuộc hai forest khác nhau để giảm bớt các bước chứng thực. Như hình 9, nếu ta lập forest trust giữa 2 forest thì domain B và domain Q vẫn có thể chứng thực các đối tượng cho nhau nhưng phải đi vòng lên forest root rồi mới qua bên đối phương. Còn nếu như đã thiết lập external trust giữa domain B và domain Q thì quá trình chứng thực sẽ diễn ra trực tiếp giữa 2 domain. -Ngoài công dụng trên, external trust còn hỗ trợ chức năng tương thích ngược giữa domain Windows 2008 và domain Windows NT để domain Windows 2008 có thể chứng thực cho các đối tượng thuộc domain Windows NT. Ba đặc tính: explicitly, non-transistive và có thể là one-way hay two-way. Hình 9: Mô hình External Trust 6. Forest trust: được người quản trị thiết lập giữa 2 forest. Bắt đầu hỗ trợ từ Windows 2003. Đây là phương pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc domain của cả 2 forest. Trong hình 10. khi forest trust được thiết lập ở 2 forest thì các đối tượng thuộc bất kì domain ở 1 trong 2 forest đều có khả năng được chứng thực trên domain của forest đối phương. Ba đặc tính: explicitly, transitive và có thể là one-way hay two-way. -Tuy nhiên tính chất transitive trong forest trust chỉ mở rộng xuống các domain trong forest mà không mở rộng ra các domain liên quan. Ví dụ forest 1 trust trực tiếp forest 2, forest 2 trust trực tiếp forest 3 và các trust relationship là transitive thì cũng không vì thế mà forest 1 trust gián tiếp forest 3. -Khi chúng ta tạo ra một trust relationship thì các thông tin về liên kết đó sẽ được lưu lại trong Active Directory của cả 2 domain tham gia liên kết để có thể được truy vấn khi cần thiết. Mỗi trust relationship được đại diện bởi 1 trust domain object (TDO). TDO sẽ lưu trữ thông tin về transitivity, direction, …  Hình 10: Mô hình forest trust -Ngoài ra forest trust TDO còn chứa thông tin về tất cả các namespace của các domain bên kia. Thông tin đó bao gồm: 1. Những tên domain tree. 2. Các services principle name (SPN) suffix giúp xác định máy tính giữ các dịch vụ trong cả 2 forest. 3. Security ID (SID). -Trên Windows 2003 và Windows 2008, các đối tược được chứng thực trong trust relationship sử dụng giao thức Kerberos v5 hay NTLM. Kerberos v5 là giao thức mặc định trong Windows 2003. Nếu như trong mối liên kết có 1 domain không hỗ trợ giao thức Kerberos v5 thì hệ thống mới chuyển qua NTLM. IV.Các họat động của Trust Relationship 1.Hoạt động của Trust Relationship trong một forest : Hình 11 :Hoạt động của trust trong một forest  -Khi user muốn truy cập vào 1 tài nguyên thuộc domain khác, hệ thống sẽ dùng cơ chế chứng thực Kerberos v5. Kerberos sẽ xác định xem domain chứa tài nguyên user cần truy cập (trusting domain) có bất kì trust relationship nào với domain chứa user account, domain mà user logon (trusted domain). Kerberos sẽ xác định TDO có liên quan đến trusted domain trong Active Directory, tìm thông tin về đường link ngắn nhất giữa 2 domain, tìm thông tin về domain controller trong trusted domain. Sau đó, domain controller của trusted domain sẽ cấp sevices ticket tức là thông tin về user có liên quan đến services (dịch vụ) mà user yêu cầu truy cập cho cho trusting domain. Ví dụ domain B truy cập tài nguyên giữa domain C trong hình 2 -Tuy nhiên, trong phạm vi 1 forest các user có thể truy cập tài nguyên thuộc domain khác trong forest mà không cần thiết lập bất kì trust relationship nào. Khi user logon trên một domain và yêu cầu truy cập đến tài nguyên thuộc domain khác, yêu cầu được đưa về domain controller của domain mà user logon, rồi dựa vào parent/child trust để đưa yêu cầu lên domain cha rồi d