Active Directory
Active Directory (AD) to usługa katalogowa opracowana przez Microsoft dla sieci domenowych Windows, zapewniająca scentralizowane zarządzanie użytkownikami, komputerami i innymi zasobami.
Microsoft Active Directory (AD) to usługa katalogowa opracowana przez firmę Microsoft dla sieci domenowych systemu Windows. Jest to fundamentalny element większości firmowych infrastruktur IT, zapewniający scentralizowane zarządzanie i organizację zasobów sieciowych. AD przechowuje informacje o obiektach, takich jak użytkownicy, komputery, grupy, drukarki i aplikacje, udostępniając te informacje użytkownikom i administratorom. Podstawowa funkcjonalność AD opiera się na koncepcji domeny, która jest logicznym zgrupowaniem obiektów sieciowych. W ramach domeny AD egzekwuje polityki bezpieczeństwa, zarządza uwierzytelnianiem i autoryzacją użytkowników oraz kontroluje dostęp do zasobów. Wykorzystuje strukturę hierarchiczną, zazwyczaj zorganizowaną w drzewa i lasy, co pozwala na skalowalność i zarządzanie dużymi, rozproszonymi organizacjami. Kluczowe protokoły używane przez AD obejmują LDAP (Lightweight Directory Access Protocol) do zapytań i modyfikacji informacji katalogowych, Kerberos do uwierzytelniania oraz DNS (Domain Name System) do lokalizowania kontrolerów domeny i innych zasobów sieciowych. AD Domain Services (AD DS) to główna rola, która zapewnia bazę danych katalogu, usługi uwierzytelniania i autoryzacji. Inne powiązane usługi to Active Directory Certificate Services (AD CS) dla infrastruktury klucza publicznego, Active Directory Federation Services (AD FS) dla pojedynczego logowania (SSO) w różnych organizacjach oraz Active Directory Rights Management Services (AD RMS) do ochrony danych. Głównym kompromisem jest złożoność konfiguracji i konserwacji, wymagająca specjalistycznej wiedzy, oraz potencjalne ryzyko bezpieczeństwa, jeśli nie zostanie prawidłowo skonfigurowana i zarządzana, takie jak podatność na ataki pass-the-hash czy Kerberoasting.
graph LR
Center["Active Directory"]:::main
Pre_dns["dns"]:::pre --> Center
click Pre_dns "/terms/dns"
Pre_authentication["authentication"]:::pre --> Center
click Pre_authentication "/terms/authentication"
Pre_authorization["authorization"]:::pre --> Center
click Pre_authorization "/terms/authorization"
Rel_ldap["ldap"]:::related -.-> Center
click Rel_ldap "/terms/ldap"
Rel_kerberos["kerberos"]:::related -.-> Center
click Rel_kerberos "/terms/kerberos"
Rel_group_policy["group-policy"]:::related -.-> Center
click Rel_group_policy "/terms/group-policy"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧒 Wyjaśnij jak 5-latkowi
Active Directory to jakby główne biuro dużej firmy, które pilnuje wszystkich identyfikatorów (np. plakietek), gdzie są czyjeś biurka i do których pokoi można wchodzić, upewniając się, że tylko odpowiednie osoby mają dostęp do właściwych miejsc.
🤓 Expert Deep Dive
Active Directory Domain Services (AD DS) implementuje rozproszoną, hierarchiczną bazę danych, która przechowuje informacje o obiektach w sieci, takich jak użytkownicy, komputery, grupy i polityki. Opiera się na protokole Kerberos (RFC 4120) do uwierzytelniania i LDAP (Lightweight Directory Access Protocol, RFC 4511) do zapytań i modyfikacji informacji katalogowych. AD DS jest zorganizowane w domeny, drzewa i lasy, tworząc logiczną strukturę do zarządzania zasobami. Każda domena ma własną granicę bezpieczeństwa i zawiera jeden lub więcej kontrolerów domeny (DC), które replikują dane katalogu. Replikacja może być jednokierunkowa lub dwukierunkowa, zazwyczaj przy użyciu modelu replikacji Multimaster. Kluczowe komponenty architektoniczne obejmują plik NTDS.DIT (bazę danych JET Blue), udział SYSVOL dla obiektów zasad grupy (GPO) i skryptów logowania oraz Global Catalog (GC), który zapewnia częściową replikę wszystkich obiektów w lesie, umożliwiając szybsze wyszukiwanie między domenami. Uwierzytelnianie polega na uzyskaniu biletu Ticket Granting Ticket (TGT) z usługi uwierzytelniania (AS) na DC, który jest następnie używany do żądania biletu Service Ticket (ST) dla określonych zasobów. Autoryzacja jest zarządzana za pomocą list kontroli dostępu (ACL) stosowanych do obiektów, odwołujących się do identyfikatorów bezpieczeństwa (SID) użytkowników i grup.
ldap
# Przykładowe zapytanie LDAP w celu znalezienia użytkownika
(objectClass=user)(sAMAccountName=johndoe)