Il National Cybersecurity Center del Regno Unito definisce il Tier 0 come "il fondamento della fiducia su cui si basano tutte le altre amministrazioni". Per Active Directory, questo include gli account privilegiati (come gli amministratori di dominio) e i controller di dominio (DC). Paragonando Tier 0 al mondo medievale, possiamo dire che Tier 0 è il castello di un regno, dove risiedono al sicuro il re e i suoi fidati consiglieri. Se un attore di minacce ottiene il controllo di una risorsa Tier 0, assume il controllo di Active Directory (o potenzialmente del regno). Ma il Tier 0 di AD non comprende solo gli amministratori di dominio e i DC. Che dire della capacità di modificare le autorizzazioni sui container AD che contengono account privilegiati o DC? E del controllo di oggetti dei criteri di gruppo (GPO) che sono o possono essere collegati a un oggetto o contenitore privilegiato? E del server Azure AD Connect e dell'account del servizio che sincronizza gli utenti con Azure AD? Questi, e molti altri, sono tutti potenziali percorsi di attacco all'ambiente AD.