Анализ адресов
Active Directory (AD) — это служба каталогов, разработанная Microsoft для сетей Windows domain, обеспечивающая централизованную аутентификацию, авторизацию и уп...
Microsoft Active Directory (AD) — это служба каталогов, разработанная Microsoft для сетей Windows domain. Это фундаментальный компонент большинства корпоративных ИТ-инфраструктур, обеспечивающий централизованное управление и организацию сетевых ресурсов. AD хранит информацию об объектах, таких как пользователи, компьютеры, группы, принтеры и приложения, и делает эту информацию доступной для пользователей и администраторов. Основная функциональность AD вращается вокруг концепции домена, который является логической группой сетевых объектов. В пределах домена AD применяет политики безопасности, управляет аутентификацией и авторизацией пользователей, а также контролирует доступ к ресурсам. Он использует иерархическую структуру, обычно организованную в деревья и леса, что обеспечивает масштабируемость и управление крупными, распределенными организациями. Ключевые протоколы, используемые AD, включают LDAP (Lightweight Directory Access Protocol) для запроса и изменения информации каталога, Kerberos для аутентификации и DNS (Domain Name System) для поиска контроллеров домена и других сетевых ресурсов. AD Domain Services (AD DS) — это основная роль, которая предоставляет базу данных каталога, услуги аутентификации и авторизации. Другие связанные службы включают Active Directory Certificate Services (AD CS) для инфраструктуры открытых ключей, Active Directory Federation Services (AD FS) для единого входа в различные организации и Active Directory Rights Management Services (AD RMS) для защиты данных. Основным компромиссом является сложность настройки и обслуживания, требующая специализированных знаний, и потенциальные риски безопасности при неправильной настройке и управлении, такие как уязвимости для атак pass-the-hash или Kerberoasting.
graph LR
Center["Анализ адресов"]:::main
Pre_dns["dns"]:::pre --> Center
click Pre_dns "/terms/dns"
Pre_authentication["authentication"]:::pre --> Center
click Pre_authentication "/terms/authentication"
Pre_authorization["authorization"]:::pre --> Center
click Pre_authorization "/terms/authorization"
Rel_ldap["ldap"]:::related -.-> Center
click Rel_ldap "/terms/ldap"
Rel_kerberos["kerberos"]:::related -.-> Center
click Rel_kerberos "/terms/kerberos"
Rel_group_policy["group-policy"]:::related -.-> Center
click Rel_group_policy "/terms/group-policy"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧒 Простыми словами
Active Directory — это как главный офис большой компании, который следит за бейджиками всех сотрудников, где находятся их рабочие места и в какие комнаты им разрешено входить, гарантируя, что только нужные люди могут попасть в нужные места.
🤓 Expert Deep Dive
Active Directory Domain Services (AD DS) реализует распределенную иерархическую базу данных, которая хранит информацию об объектах в сети, таких как пользователи, компьютеры, группы и политики. Он полагается на протокол Kerberos (RFC 4120) для аутентификации и LDAP (Lightweight Directory Access Protocol, RFC 4511) для запроса и изменения информации каталога. AD DS организован в домены, деревья и леса, образуя логическую структуру для управления ресурсами. Каждый домен имеет свою границу безопасности и содержит один или несколько контроллеров домена (DC), которые реплицируют данные каталога. Репликация может быть однонаправленной или двунаправленной, обычно с использованием модели Multimaster Replication. Ключевые архитектурные компоненты включают файл NTDS.DIT (база данных JET Blue), общий ресурс SYSVOL для объектов групповой политики (GPO) и сценариев входа, а также Global Catalog (GC), который предоставляет частичную копию всех объектов в лесу для более быстрого поиска за пределами доменов. Аутентификация включает получение Ticket Granting Ticket (TGT) от службы аутентификации (AS) на DC, который затем используется для запроса Service Ticket (ST) для конкретных ресурсов. Авторизация управляется с помощью списков контроля доступа (ACL), применяемых к объектам, ссылающихся на идентификаторы безопасности (SID) пользователей и групп.
ldap
# Пример LDAP-запроса для поиска пользователя
(objectClass=user)(sAMAccountName=johndoe)