- Bir telefon defteri gibi dizin sistemidir.
- Bilgisayar, printer vs hepsi bu dizine kayıt olur.
- Windows makineler kerberos ticketler ile auth olurken linux makineler, firewall’lar vs Radius veya LDAP ile authenticate olur.
- Bir kullanıcı adı ve şifreyle farklı bilgisayarlardan cihazlardan bağlanmak mümkün olur.
- Fortune 1000 şirketlerinin %95’i Active Directory kullanır.
- Özellikler,trustlar, componentler vs kullanılarak bile hack edilebilir. Patch edilebilir bir exploiti olması şart değildir.
What are objects in active directory? Object is the basic element of Active Directory in Microsoft Windows Server family that represents something on the network, such as a user, a group, a computer, an application, a printer, or a shared folder.
Fiziksel AD Componentleri
Domain Controller
- AD dizinin bir kopyasını tutan makinedir.
- Giriş ve Kayıt servislerini sağlar
- Diğer domain controller’ları günceller ve kendisine kopyalar
- Admin kullanıcısına izin verir, politika ve kullanıcı eklenmesine izin verir. Network işlemlerini yürütür.
- En önemli componenttir. Herşey burada tutulur.
AD DS Data Store
- Kullanıcı bilgileri,servisler ve uygulamalar gibi bilgilerin tutulduğu db dosyalarından ve processlerinden oluşur.
- Ntds.dit dosyasından oluşur. Pass The Hash vs bu dosyadan çıkan bilgilerden oluşur.
- %SystemRoot%\NTDS yolunda bulunur. Yalnızda domain controller’larda bulunur ve yalnızda DC tarafından erişilebilir.
Lojik AD Componentleri
AD Schema
- Rule book denebilir. Directory’de tutulabilecek tüm objelerin türlerini tanımlar.
- Obje oluşturma ve configuration kurallarını barındırır.
Domain
- Belli politikaların uygulandığı gruplara denir. Organizasyonlar içindeki objeleri gruplamak ve yönetmek için kullanılır.
- Aynı zamanda domain controllerdan data kopyalamadaki sınırları da belirler ( hangi grup için hangi politikaların ve kuralların dc’den alınacağını belirleyen sınırlardır)
- Kaynaklara erişim yetkisini belirleyen sınırlardır.
Tree
- Bir parent domain olur ve child domainler olur. Bu domainler arasında otomatik olarak bir güven kurulur.
Forest
- Birden fazla domain tree’nin bağlanmasıyla oluşan yapılardır.
- Ortak bir schema, bir ayar grubu(configuration partition), bir global katalog ve search paylaşırlar
- Güven ilişkileri oluşturulur.
- Enterprise admin vs paylaşımı olur.
Organizational Units (OU)
- Domain içindeki alt birimdir. Kullanıcılar,bilgisayarlar, rule’lar gibi objeleri barındırır.
- Domain altında hiyerarşiyi temsil eder.
- Objeler arasında izinleri ve adminleri belirler.
- Kuralları uygular.
Trusts
- Kullanıcıların kaynaklara erişiminin belirlendiği mekanizmadır.
- Yönlü veya yönsüz olabilir.
- Yönlü olduğunda trust olan yönün aksi yönünde erişim olur. Yani A objesi, B objesine güveniyorsa B objesi, A’nın kaynaklarına erişebilir.
- Domainler arasında trust kurulur.
- Forest içindeki bütün domainler otomatik olarak birbirlerine karşı transitive trust kurar.
- Trust forest dışına da genişletilebilir.
Objects
- User,InetOrgPerson, Contacts, Groups, Computers, Printers, Shared Folders olabilir.
