Le National Cybersecurity Center du Royaume-Uni définit le Tier 0 comme « la racine de confiance sur laquelle repose toute autre administration ». Pour Active Directory, cela inclut les comptes privilégiés (tels que les administrateurs de domaine) et les contrôleurs de domaine (DC). Une analogie médiévale du Tier 0 est celle du château fort d'un royaume, où le roi et ses conseillers de confiance résident en toute sécurité. Si un acteur de la menace prend le contrôle d'un actif du Tier 0, il a le contrôle d'Active Directory (ou potentiellement du royaume). Mais le Tier 0 d'AD ne se limite pas aux administrateurs de domaine et aux DC. Qu'en est-il de la capacité à modifier les autorisations sur les conteneurs AD qui contiennent des comptes privilégiés ou des DC ? Qu'en est-il du contrôle des objets de stratégie de groupe (GPO) liés ou pouvant être liés à un objet ou à un conteneur privilégié ? Qu'en est-il du serveur Azure AD Connect et du compte de service qui synchronise les utilisateurs avec Azure AD ? Il s'agit là d'un des possibles chemins d'attaque potentiels contre AD.