Аналіз адрес
Active Directory (AD) — це служба каталогів, розроблена Microsoft для мереж Windows domain, що забезпечує централізовану автентифікацію, авторизацію та керування мережевими ресурсами та ідентичностями...
Microsoft Active Directory (AD) — це служба каталогів, розроблена Microsoft для мереж Windows domain. Це фундаментальний компонент більшості корпоративних ІТ-інфраструктур, що забезпечує централізоване керування та організацію мережевих ресурсів. AD зберігає інформацію про об'єкти, такі як користувачі, комп'ютери, групи, принтери та програми, і робить цю інформацію доступною для користувачів та адміністраторів. Основна функціональність AD обертається навколо концепції домену, який є логічним групуванням мережевих об'єктів. У межах домену AD забезпечує дотримання політик безпеки, керує автентифікацією та авторизацією користувачів, а також контролює доступ до ресурсів. Вона використовує ієрархічну структуру, зазвичай організовану в дерева та ліси, що дозволяє масштабувати та керувати великими, розподіленими організаціями. Ключові протоколи, що використовуються AD, включають LDAP (Lightweight Directory Access Protocol) для запитів та модифікації інформації каталогу, Kerberos для автентифікації та DNS (Domain Name System) для пошуку контролерів домену та інших мережевих ресурсів. AD Domain Services (AD DS) — це основна роль, яка надає базу даних каталогу, послуги автентифікації та авторизації. Інші пов'язані служби включають Active Directory Certificate Services (AD CS) для інфраструктури відкритих ключів, Active Directory Federation Services (AD FS) для єдиного входу (single sign-on) між різними організаціями та Active Directory Rights Management Services (AD RMS) для захисту даних. Основний компроміс полягає у складності налаштування та обслуговування, що вимагає спеціалізованої експертизи, та потенційних ризиках безпеки, якщо конфігурація та керування не є належними, таких як вразливості до атак pass-the-hash або Kerberoasting.
graph LR
Center["Аналіз адрес"]:::main
Pre_dns["dns"]:::pre --> Center
click Pre_dns "/terms/dns"
Pre_authentication["authentication"]:::pre --> Center
click Pre_authentication "/terms/authentication"
Pre_authorization["authorization"]:::pre --> Center
click Pre_authorization "/terms/authorization"
Rel_ldap["ldap"]:::related -.-> Center
click Rel_ldap "/terms/ldap"
Rel_kerberos["kerberos"]:::related -.-> Center
click Rel_kerberos "/terms/kerberos"
Rel_group_policy["group-policy"]:::related -.-> Center
click Rel_group_policy "/terms/group-policy"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧒 Простими словами
Active Directory — це як головний офіс великої компанії, який відстежує бейджі всіх співробітників, де знаходяться їхні столи та до яких кімнат їм дозволено входити, гарантуючи, що лише правильні люди потрапляють у правильні місця.
🤓 Expert Deep Dive
Active Directory Domain Services (AD DS) реалізує розподілену ієрархічну базу даних, яка зберігає інформацію про об'єкти в мережі, такі як користувачі, комп'ютери, групи та політики. Вона покладається на протокол Kerberos (RFC 4120) для автентифікації та LDAP (Lightweight Directory Access Protocol, RFC 4511) для запитів та модифікації інформації каталогу. AD DS організована в домени, дерева та ліси, формуючи логічну структуру для керування ресурсами. Кожен домен має власний межу безпеки та містить один або кілька контролерів домену (DC), які реплікують дані каталогу. Реплікація може бути односпрямованою або двоспрямованою, зазвичай з використанням моделі Multimaster Replication. Ключові архітектурні компоненти включають файл NTDS.DIT (база даних JET Blue), спільний ресурс SYSVOL для об'єктів групової політики (GPO) та скриптів входу, а також Global Catalog (GC), який надає часткову репліку всіх об'єктів у лісі для швидшого пошуку між межами доменів. Автентифікація передбачає отримання квитка Ticket Granting Ticket (TGT) від служби автентифікації (AS) на DC, який потім використовується для запиту Service Ticket (ST) для конкретних ресурсів. Авторизація керується за допомогою списків контролю доступу (ACL), застосованих до об'єктів, які посилаються на ідентифікатори безпеки (SID) користувачів та груп.
ldap
# Приклад LDAP-запиту для пошуку користувача
(objectClass=user)(sAMAccountName=johndoe)