Le protocole Kerberos est le protocole de sécurité principal par défaut pour les authentifications réalisées dans un domaine Windows 2000.

Il permet aux utilisateurs d’accéder aux ressources réseau à partir de la même ouverture de session. Dans un réseau, le service Kerberos se trouve dans chaque contrôleur de domaine et les clients Kerberos sur les autres ordinateurs Windows 2000.

Par exemple lorsqu’un utilisateur veut accéder à un serveur dans un réseau où le protocole Kerberos a été activé, le service Kerberos de ce serveur va vérifier l’identité du client. Le client ne pourra confirmer son identité qu’en demandant au service Kerberos du réseau un ticket qui lui permettra de confirmer son identité.

 Une fois le ticket reçu, l’utilisateur pourra alors accéder au service réseau voulu.

Le service Kerberos s’appelle le KDC (Key Distribution Center) et se trouve comme nous l’avons dit précédemment dans chaque contrôleur de domaine, qui stocke toutes les informations relatives aux comptes.

Le ticket émis au client par un KDC s’appelle un TGT (Ticket Granting Ticket). Le TGT permet au système client d’accéder au TGS (Ticket Granting Service) se trouvant dans le contrôleur de domaine. Ce TGS permettra l’émission d’un ticket de service au client. C’est ce ticket de service que le client présentera au service réseau demandé.