Active Directory
Active Directory (AD) ist ein von Microsoft entwickelter Verzeichnisdienst für Windows-Domänennetzwerke, der eine zentrale Verwaltung von Benutzern, Computern und anderen Ressourcen ermöglicht.
Microsoft Active Directory (AD) ist ein von Microsoft für Windows-Domänennetzwerke entwickelter Verzeichnisdienst. Es ist eine grundlegende Komponente der meisten unternehmensweiten IT-Infrastrukturen und bietet zentrale Verwaltung und Organisation von Netzwerkressourcen. AD speichert Informationen über Objekte wie Benutzer, Computer, Gruppen, Drucker und Anwendungen und stellt diese Informationen Benutzern und Administratoren zur Verfügung. Die Kernfunktionalität von AD dreht sich um das Konzept einer Domäne, die eine logische Gruppierung von Netzwerkobjekten darstellt. Innerhalb einer Domäne erzwingt AD Sicherheitsrichtlinien, verwaltet die Benutzerauthentifizierung und -autorisierung und steuert den Zugriff auf Ressourcen. Es verwendet eine hierarchische Struktur, die typischerweise in Bäume und Gesamtstrukturen organisiert ist, was Skalierbarkeit und die Verwaltung großer, verteilter Organisationen ermöglicht. Zu den wichtigsten von AD verwendeten Protokollen gehören LDAP (Lightweight Directory Access Protocol) für die Abfrage und Änderung von Verzeichnisinformationen, Kerberos für die Authentifizierung und DNS (Domain Name System) für die Lokalisierung von Domänencontrollern und anderen Netzwerkressourcen. AD Domain Services (AD DS) ist die primäre Rolle, die die Verzeichnisdatenbank, Authentifizierungs- und Autorisierungsdienste bereitstellt. Andere verwandte Dienste umfassen Active Directory Certificate Services (AD CS) für Public-Key-Infrastrukturen, Active Directory Federation Services (AD FS) für Single Sign-On über verschiedene Organisationen hinweg und Active Directory Rights Management Services (AD RMS) für den Datenschutz. Der Hauptkompromiss liegt in der Komplexität der Einrichtung und Wartung, die spezialisiertes Fachwissen erfordert, und den potenziellen Sicherheitsrisiken, wenn sie nicht ordnungsgemäß konfiguriert und verwaltet wird, wie z. B. Anfälligkeiten für Pass-the-Hash-Angriffe oder Kerberoasting.
graph LR
Center["Active Directory"]:::main
Pre_dns["dns"]:::pre --> Center
click Pre_dns "/terms/dns"
Pre_authentication["authentication"]:::pre --> Center
click Pre_authentication "/terms/authentication"
Pre_authorization["authorization"]:::pre --> Center
click Pre_authorization "/terms/authorization"
Rel_ldap["ldap"]:::related -.-> Center
click Rel_ldap "/terms/ldap"
Rel_kerberos["kerberos"]:::related -.-> Center
click Rel_kerberos "/terms/kerberos"
Rel_group_policy["group-policy"]:::related -.-> Center
click Rel_group_policy "/terms/group-policy"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧒 Erkläre es wie einem 5-Jährigen
Active Directory ist wie die Hauptverwaltung einer großen Firma, die Namensschilder, Schreibtischplätze und Zutrittsberechtigungen für Räume verwaltet und sicherstellt, dass nur die richtigen Leute an die richtigen Orte gelangen.
🤓 Expert Deep Dive
Active Directory Domain Services (AD DS) implementiert eine verteilte, hierarchische Datenbank, die Informationen über Objekte innerhalb eines Netzwerks speichert, wie z. B. Benutzer, Computer, Gruppen und Richtlinien. Es stützt sich auf das Kerberos-Protokoll (RFC 4120) für die Authentifizierung und LDAP (Lightweight Directory Access Protocol, RFC 4511) für die Abfrage und Änderung von Verzeichnisinformationen. AD DS ist in Domänen, Bäume und Gesamtstrukturen organisiert und bildet eine logische Struktur für die Verwaltung von Ressourcen. Jede Domäne hat ihre eigene Sicherheitsgrenze und enthält einen oder mehrere Domänencontroller (DCs), die Verzeichnisdaten replizieren. Die Replikation kann unidirektional oder bidirektional erfolgen, typischerweise unter Verwendung des Multimaster-Replikationsmodells. Zu den wichtigsten Architekturkomponenten gehören die NTDS.DIT-Datei (eine JET Blue-Datenbank), die SYSVOL-Freigabe für Gruppenrichtlinienobjekte (GPOs) und Anmeldeskripte sowie der globale Katalog (GC), der eine Teilreplik aller Objekte in der Gesamtstruktur für eine schnellere Suche über Domänengrenzen hinweg bereitstellt. Die Authentifizierung umfasst den Erhalt eines Ticket Granting Ticket (TGT) vom Authentication Service (AS) auf einem DC, das dann zum Anfordern eines Service Ticket (ST) für bestimmte Ressourcen verwendet wird. Die Autorisierung wird über Zugriffssteuerungslisten (ACLs) verwaltet, die auf Objekte angewendet werden und auf Sicherheitsbezeichner (SIDs) von Benutzern und Gruppen verweisen.
ldap
# Beispiel LDAP-Abfrage zum Finden eines Benutzers
(objectClass=user)(sAMAccountName=johndoe)