[!info] Cheat Sheet https://wadcoms.github.io/ https://swisskyrepo.github.io/InternalAllTheThings/active-directory
Active Directory ist ein Identitätsmanagement Dienst. Ein großteil der Firmen benutzt es. Zur Authentifizierung werden Kerberos Tickets genutzt. Für nicht Windows Geräte gibt es die Möglichkeit zum Authentifizieren mit Radius oder LDAP.
Physische Komponenten
Domain Controller
Der Domain Controller kontrolliert alles. Er ist zuständig für die Autorisierung und Authentifizierung. Stellt einen Administrativen Zugriff zur Verfügung. Alles in der Domain kann mit dem Domain Controller kontrolliert werden. Dieser Server hat die AD DS server Rolle installiert, welche speziell für den Domain Controller ist.
AD DS Data Store
Enthält Datenbanken und alle möglichen Applikationsinformationen.
Enthält die Datei [[AD Begriffe#NTDS.dit|NTDS.dit]]. Mit dieser Datei können viele Informationen, wie Passworthashes. Er wird standardmäßig auf allen Domain Controllern in %SystemRoot%\NTDS gespeichert. Die Datei Ntds.dit ist nur von den Domain Controller Prozessen und Protokollen zugreifbar.
Logische Komponenten
AD DS Schema
Das AD DS enthält alle Objekttypen, die in einem Verzeichnis gespeichert werden können. Es enthält außerdem Regeln, wie Objekte erstellt oder konfiguriert werden können. Dabei gibt es zwei unterschiedliche Objekttypen. Die eine ist das Class Object, zu diesem gehören alle Objekte, welche in dem Verzeichnis erstellt werden können, wie Nutzer oder Computer. Daneben gibt es die Attribut Objekte, hierbei handelt es sich um Informationen, die einem Objekt hinzugefügt werden können, wie der Display Name.
Domains
Werden benutzt, um Objekte zu gruppieren und zu managen. Hiermit können mehrere Regeln auf eine Gruppe von Objekten angewandt werden. Die Domains können auch benutzt werden, um den Zugriff auf Ressourcen einzuschränken.
Trees
Ein Tree ist eine Hierarchie von Domains.
Forests
Ein Forest ist eine Sammlung von mehreren Trees. Sie haben ein gemeinsames Schema. Mit einem Enterprise Admin hat man administrativen Zugang zu dem gesammten Forest.
Organizational Units (OUs)
Sind Container, die verschiedene Dinge wie Nutzer, Gruppen, Computer oder auch andere OUs enthalten können. Sie sind dazu da die hierarchie der Organisation logisch darzustellen. Können Richtlinien festlegen, aber auch erlauben gruppen von Objekten zu administrieren.
Trusts
Es gibt dabei das Direktionale Vertrauen. Dabei vertraut eine Domain einer anderen und diese erhält dann Zugriff. Dann gibt es noch das Transitive Vertrauen, welches sich über Trees oder Forests erstrecken kann und auch über Kinder Domains geht.
Objects
| Objekt | Beschreibung |
|---|---|
| User | Gibt einem Nutzer Zugriff auf Resourcen |
| InetOrgPerson | Ähnlich zu einem Nutzer Account, aber zur Kompatibilität, mit anderen Identitätsmanagement Diensten. |
| Contacts | Hauptsächlich um externen Benutzern email Adressen zuzuweisen |
| Groups | Werden benutzt, um die Administrations Zugriffsrechte zu vereinfachen |
| Computers | Wird zur Authentifizierung und dem auditing von Computer Zugriff auf Resourcen benutzt |
| Printers | Zum Managen von Druckern |
| Shared Folders | Erlaubt es Nutzern nach geteilten Ordnern zu suchen. |
NTDS.dit
Eine Datenbank um AD Daten zu speichern. Dazu gehören: - Nutzer Informationen - Gruppen Informationen - Sicherheitsbeschreibungen - Passwort Hashes