Os segredos de confiança são representados por atributos especiais em contas de confiança entre domínios, indicando a direção da confiança que está protegendo
Os segredos de confiança de entrada são armazenados em trustAuthIncoming , no lado "confiável" de uma relação de confiança
Os segredos de confiança de saída são armazenados em trustAuthOutgoing , no final "confiante" de uma relação de confiança
No caso especial de relações de confiança bidirecionais (como relações pai ou filho ou relações de confiança de floresta transitivas entre florestas internas), o objeto INTERDOMAIN_TRUST_ACCOUNT de cada lado da confiança terá ambos definidos.
Ao contrário das contas de computador normais, nas quais o computador cliente é responsável por iniciar alterações de senha, os segredos de confiança são mantidos pelo Controlador de Domínio que possui a função FSMO do Emulador PDC no domínio confiante.
A cada sete dias, o PDCe gerará e definirá um novo segredo de confiança, entrará em contato com o PDCe no domínio confiável e atualizará o segredo de confiança de entrada. Todos os outros controladores de domínio no domínio confiável replicarão o novo segredo, mas para garantir que a confiança não seja interrompida imediatamente até que a replicação ocorra, o último segredo usado será retido no banco de dados SAM até a próxima alteração.
Como essa especificação não se encaixa bem com a maioria das políticas de senha e pelo fato de que uma senha / segredo exclusivo é mantida por direção não por TDO, o INTERDOMAIN_TRUST_ACCOUNT está isento de ter uma senha