Active Directory: Terminologiyaya bələdçilik, Təsnifatlar & Əsaslar!
Müəllif: Qurbanov Laçın
Last updated
Müəllif: Qurbanov Laçın
Last updated
Active Directory mövcud olmamışdan əvvəl, əgər şəbəkədə paylaşılan fayl əldə etmək lazım idisə, serverin adını və ya İP-ni, faylın yolunu və onun adını bilməli idiniz.
Bu həll kiçik şəbəkələr üçün işləsə də, şəbəkə böyüdükcə ölçeklenebilir deyil.
Bir directory xidməti, paylaşılan fayllar, qovluqlar, printerlər, serverlər və s. kimi şəbəkə resurslarının bütün adlarını öz xüsusi adreslərinə xəritə edərək bu problemi həll etməyə kömək edir.
Bu gün Active Directory (AD) kimi bir directory xidməti bir təşkilatın şəbəkəsi, xüsusilə də böyükləri üçün mühüm əhəmiyyət kəsb edir.
AD, demək olar ki, bütün missiya-kritik prosesləri və resursların təmin edilməsi, qabiliyyətin planlaşdırılması, təhlükəsizlik, şəbəkə xidmətləri, resursların idarə edilməsi və daha çox kimi tətbiqləri dəstəkləyir.
Bu məqalədə Biz Active Directory dünyasında zəruri termin və anlayışların siyahısını tərtib etdik.
Əgər siz Active Directory-də başlanğıcçısınızsa, bu siyahı əsas anlayışlar üzərində yaxşı təməl əldə etməyinizə kömək edə bilər.
Directory Service
A Directory Service — iyerarxik quruluş üzərində qurulmuş informasiya mağazası.
Şəbəkə daxilində resursların asan və tez saxlanılmasına, axtarışına və idarəolunmasna imkan verir.
Hər bir şəbəkə resursu obyekt hesab olunur.
Nə yox?
Qeyd etmək lazımdır ki, bir qovluq xidməti verilənlər bazasından daha çoxdur.
Adın nəzərdə tutur olduğu kimi, "xidmət"dir.
Verilənlər bazası kompüter sistemində daxil olan və saxlanılan fiziki məlumat anbarı olduğu halda, direktor xidməti məlumat bazasından istifadə edərək obyektlərin məlumatlarını xahiş edir və əldə edir.
Active Directory (AD) — Windows domen şəbəkələri üçün qovşaq xidməti.
Active Directory Domain Services (AD DS) roluna malik olan hər bir Windows Server ilə gəlir.
AD əsasən istifadəçilər və onların resursları haqqında məlumatları saxlamaq, icazə vermək və idarə etmək üçün istifadə olunur.
AD informasiyaları obyekt kimi saxlaya bilər. Obyekt — istifadəçi hesabları, parollar, kompüterlər, proqramlar, printerlər, fayl/qovluq payları, təhlükəsizlik qrupları və onların icazələri kimi şəbəkə daxilində olan resursdur.
AD DS rolunu icra edən server olan Windows Domain Controller (DC) AD xidmət dəstini təmin edən proqram/avadanlıqdır.
Domen idarəçinin əsas funksiyası bütün istifadəçilərin və onların resurslarının Windows domen şəbəkəsinə daxil edilməsi və onlara səlahiyyət verilməsidir.
AD-nin ən yaxşı nümunəsi istifadəçinin Windows domeninin bir hissəsi olan kompüterə daxil olmasıdır.
AD verilənlər bazasına qarşı olan etimadnamələri yoxlayır, əgər istifadəçi adı və parol keçərlidirsə, istifadəçi kompüterə daxil ola bilər.
Lightweight Directory Access Protocol (LDAP)
Lightweight Directory Access Protocol (LDAP) – qovluq xidmətlərinə daxil olmaq və təsdiq etmək üçün istifadə olunan açıq və çoxsahəli satıcı protokoludur.
O, proqramların və sistemlərin dizin xidmətləri ilə qarşılıqlı əlaqəsi üçün sintaksisini təmin edir.
Başqa sözlə, LDAP bir directory xidməti ilə əlaqə qurmaq üçün bir yol təqdim edir. Active Directory LDAP versiyası 2 və versiya 3-ü access protocols kimi istifadə edir.
Autentifikasiyanı təmin etmək üçün LDAP bir client/server modeli ilə işləyir və TCP/IP yığını üzərindən çalışır.
Kerberos autentifikasiyası, Simple Authentication Security Layer (SASL) və Secure Sockets Layer (SSL) dəstəkləyir.
"Active Directory Web Services" (ADWS) "Windows 2008 R2" ilə təqdim edilib.
Bu, istənilən lokal Active Directory domenlərinin, Active Directory Lightweight Directory Services (ADLDS) misallarının və Active Directory Database Mounting Tool instances-in uzaqdan idarə edilməsi imkanı verir.
ADWS 9389 portu üzərindən WS protokolundan istifadə edir və 80 və ya 443 kimi HTTP portlarla məhdud deyil.
Active Directory misalı onun məlumat bazasından və Directory System Agent (DSA) kimi tanınan proqramdan ibarətdir.
Xidmətlər və proseslər toplusu olan bu proqram, LDAP-ın xahiş etdiyi məlumat mağazasına və xidmətlərə giriş imkanı verir.
DSA, Directory User Agent tərəfindən istənilmiş bir dizinin bir qisiminə girişi təmin edən şəxsdir.
Active Directory bütün şəbəkə resurslarınızı məntiqi strukturda təşkil edir.
Bu məntiqi model şəbəkənin fiziki quruluşundan müstəqildir.
Başqa sözlə, AD-ni şəbəkə topologiyası və ya domen idarəçilərinin sayı narahat etmir; sadəcə resursları məntiqi şəkildə struktura sturuktur.
Beləliklə, AD öz fiziki məkanına görə resurs tapmaq əvəzinə istifadəçilərə onu öz adı ilə tapmağa imkan verir.
Active Directory istifadəçi və ya kompüter kimi şəbəkə elementlərini iyerarxik məntiqi quruluşa təşkil etməyə imkan verir.
İyerarxiyanın yuxarı hissəsində Meşə, ardınca isə bir və ya bir sıra domen saxlayan Ağaclar yerləşir.
Bir domen daxilində Organizational Units (OU) mövcuddur.
Active Directory strukturu informasiyaların qruplaşdırılması nəticəsində yaranır, obyekt kimi də adlandırılır.
Hər bir obyekt istifadəçi və ya kompüter kimi unikal şəbəkə subyektini təmsil edir və bu xüsusiyyət dəsti ilə təsvir olunur.
Məsələn, istifadəçi obyekti ad, ID, ünvan, telefon və daha çox olaraq müəyyən edilə bilər.
Obyektlər iki müxtəlif kateqoriyaya düşür:
Resurslar
Təhlükəsizlik Direktorları
Resurslar kateqoriyasına daxil olan obyektlər printer, kompüter və ya digər paylaşılan qurğular ola bilər.
Təhlükəsizlik prinsləri kateqoriyasına daxil olan obyektlər istifadəçilər, parollar, qruplar və s. və ya təsdiq edilməli olan və ya icazə verilə bilən hər hansı obyektdir.
AD bu təhlükəsizlik direktorlarının hər birinə unikal Təhlükəsizlik Identifiksi (SID) ayırır.
Sİd obyektə domen daxilindəki resurslara daxil olmağa icazə vermək və ya onu rədd etmək üçün istifadə olunur.
İstifadəçilər Bu, domen resurslarına girişə ehtiyacı olan şəxslərə təyin olunan obyektlərdir. İstifadəçi hesabının istifadəçi adı və parolu vardır.
Kompüterlər Domen daxilində iş stansiyasını və ya serveri təmsil edir.
Contacts Bu, üçüncü tərəf əlaqələr haqqında məlumat ehtiva edir. Bu cismin Sİd-i yoxdur, ona görə də domenə aid deyil.
Qruplar Bu obyektlər istifadəçi hesabları, kompüterlər və ya kontaktlar toplusunu təmsil edir. İki növ var: Təhlükəsizlik və Distribusiya qrupları. Qruplar bir çox obyektlərin idarə edilməsi vahid vahidə asanlıqla daxil edirlər.
Shared folder Bu obyekt server paylaşımına xəritədə edilir və bütün şəbəkə boyunca faylları paylaşmaq üçün istifadə olunur.
Printer Bu obyekt domen daxilində paylaşılan printerə uyğun gəlir.
Organizational Unit (OU) Bu obyekt növü eyni domendən olan istifadəçilər, kompüterlər və ya qruplar kimi digər obyektləri daxil edə bilən konteynerdir. Oxşar obyektləri saxlamaq və onların idarəsini asanlaşdırmaq üçün OU istifadə olunur. Bundan əlavə, qrup siyasəti qurğularının və icazələrin bütün konteynerə tətbiq edilməsi üçün də istifadə olunur.
Obyekt Qrupları ilə Təşkilat Vahidləri (OUS) arasındakı fərqləri vurğulamaq vacibdir.
Qruplar bir resursa girişə icazə vermək və ya inkar etmək üçün nəzərdə tutulmuşdur, OU isə obyekt nəzarəti üçün nəzərdə tutulmuşdur, əsasən Qrup Siyasəti (GPO) və ya icazələr vasitəsilə.
Digər fərq isə qrupların SID-lərdən istifadə etməsidir, OI-lar isə SID-lərdən istifadə etmirlər (onları qrupa yerləşdirmək mümkün deyil).
Username Attributes
Active Directory-də təhlükəsizlik, logon adı və ya ID kimi istifadəçi obyektlərini müəyyən etməyə kömək etmək üçün istifadəçi adlandırma xüsusiyyətləri dəstindən istifadə edərək təkmilləşdirilə bilər.
UserPrincipalName (UPN) İstifadəçi üçün əsas logon adıdır. Konvensiyaya görə UPN istifadəçinin elektron poçt ünvanından istifadə edir.
ObjectGUID İstifadəçinin unikal identifiksividir. AD-da ObjectGUID atribut adı heç vaxt dəyişmir və istifadəçi aradan qaldırılsa belə, unikal olaraq qalır.
SAMAccountName Bu, Windows müştərilərinin və serverlərinin əvvəlki versiyasını dəstəkləyən loqon adıdır.
ObjectSID Bu istifadəçinin Təhlükəsizlik Identifiksi (SID)-dir. Bu atribut serverlə təhlükəsizlik qarşılıqlı əlaqəsi zamanı istifadəçini və onun qrup üzvlüyünü müəyyən etmək üçün istifadə olunur.
SİdHistory Bu istifadəçi obyekti üçün əvvəlki SID-dir.
Domens
Domenlər Active Directory-nin əsas struktur vahidləridir. Onlar obyekt ID məlumatlarından istifadə etməklə verilənlər bazası tərəfindən əmələ gəlmiş obyektlərin toplusudur. Ad domeni bir neçə sub-domainə malik ola bilər, buna uşaq domenləri də deyilir.
Bir domen client-server ünsiyyət model istifadə edir. Bu model müxtəlif istifadəçilərə və ya qruplara (müştərilərə) domendən (serverdən) icazə təyin edə bildiyiniz kimi təhlükəsizliyə imkan verir. Domenin idarəçisi konkret resurslara autentifikasiya və səlahiyyət verilməsini təmin edən təhlükəsizlik xidmətlərindən istifadə edir.
Bir Qrup Domains bir Tree təşkil edir.
Qrup Siyasəti bütün bir domen üçün konfiqurasiya edilə bilər, lakin onu OU-ya tətbiq etmək daha geniş yayılıb.
Ad domeni Domain Name Server (DNS) adı və ya sub-domain ilə müəyyən edilə bilər.
AD-ni ilk dəfə konfiqurasiya edərkən root domain adı yaratmaq lazım gələrdi.
Active Directory domen adının nümunəsi "ad-internal.company.com" olardı. Burada "ad-internal" sizin daxili AD domeniniz üçün istifadə etdiyiniz addır. "company.com" isə xarici resurslarınızın adıdır.
Bir domen daxilində bir obyektin adını vermək üçün Tam Kvalifikasiyalı Domen Adından (FQDN) istifadə edə bilərsiniz. Bu, bütün domendə hostun və ya kompüterin unikal adıdır.
FQDN hostname və domen adından ibarətdir.
Məsələn, "WORKSTATION-040" adı ilə "sales-internal.company.com" domenində olan kompüter üçün FQDN "WORKSTATION-040.sales-internal.company.com.
AD Tree — Active Directory şəbəkəsi daxilində ümumi DNS adlandırma strukturunu paylaşan domenlər qrupu.
Ağac bir çox domenlər arasında məntiqi sərhəd yaradır.
"Söz" ağacı hər bir domenin dəqiq bir valideyni olduğu üçün istifadə olunur. Bu ağac iyerarxik ağac forması ilə struktur yaradır.
Bu ağacların kolleksiyası meşə əmələ gətirir.
AD forest — bir və ya bir qədər AD ağacının yığılması.
İyerarxik quruluşda üst qabdır və ağaclar arasında məntiqi ayrım yaradır.
Bir domeni olan tək bir ağacdan və ya çoxlu domenə malik bir neçə ağacdan ibarət ola bilər.
Əsassız olaraq AD-də yaradılan ilk domen avtomatik olaraq meşə yaradacaq.
Meşə daxilindəki ağaclar eyni şеydə şərikdir.
Bu o deməkdir ki, obyektlərin içindəki bütün məzmunlar meşədəki bütün domenlərdə eyni olacaq.
Meşənin digər bir xüsusiyyəti isə onun domenlərinin bir-birinə əsassız etibar etməsidir.
Active Directory Group — istifadəçilər, kompüterlər və ya kontaktlar kimi obyektlərin toplusu.
Qruplar asan idarə və daha yaxşı təhlükəsizlik imkan verir.
Hər bir obyekti ayrı-ayrılıqda idarə etmək əvəzinə, menecer onların hamısını bütövlükdə idarə edə bilər.
Qruplar tez-tez domen daxilindəki obyektlərə icazə təyin etmək üçün istifadə olunur.
AD-da iki qrup növü var:
Təhlükəsizlik Qrupu: Domen daxilində konkret resurslara girişin verilməsi və ya rədd edilməsi üçün istifadə olunur.
Distribution Group: E-poçt və mesajların bütün qrupa paylanması üçün istifadə olunur. Bu qrup resurslara çıxışın təmin edilməsi üçün nəzərdə tutulmayıb.
Ya təhlükəsizlik, ya da distribution obyekt qrupları üç müxtəlif qrup miqyasına düşə bilər, Universal, Global, və ya Domain Local.
Qrup miqyası qrupun istifadə edilə biləcəyi şəbəkə daxilindəki yeri müəyyən edir.
Bu miqyas qrupun bütün sahə, ağac və ya meşə boyunca çatacağı səviyyədir. Bu, həmçinin qrup üzvlərinin təyini üçün də kömək edə bilər.
Global Groups: Yerli domendə istifadəçi və kompüter hesabları kimi obyektləri ehtiva edir. Bu qruplar yerli obyektlərə başqa bir domen, ağac və ya meşəyə çıxış imkanı vermək üçün istifadə edilə bilər.
Domain Local Groups: Hər hansı bir domendən olan obyektləri ehtiva edə bilər. Qrup üzvləri yalnız yerli domendəki resurslara daxil ola bilərlər.
Universal Groups: Digər qrup miqyaslarından və ağacda və ya meşədə hər hansı bir domendən olan obyektlərə qrup üzvləri kimi sahibdir. Bu qrupun üzvləri istənilən domendəki resurslara daxil ola bilərlər.
AD Schema, AD-da saxlanıla bilən müəyyən xüsusiyyətlərə malik obyekt sinifinin tipi ilə bağlı qaydaları təsvir edir.
Schema bu obyekt sinifləri üçün məzmun və quruluşu müəyyən edən bir layout kimidir.
Active Directory-də yaradılan hər bir obyekt obyekt sinfinin nümunəsidir. Məsələn, "İstifadəçi obyekti" "İstifadəçi sinfi"nin nümunəsidir.
Yeni istifadəçi yaradıldıqda obyekt sinfinə "İstifadəçi" düşür. Şekada əsasən mütləq və ya seçimli atributlar tələb olunacaq.
AD schema müxtəlif Elements ibarətdir:
Cism sinifləri
Xas xass
Sintaksislər
Giriş Hüququ
Active Directory Functional Levels domen və ya meşədə hansı Active Directory Domain Services xüsusiyyətlərinin istifadə edilə biləcəyini müəyyən edən nəzarətlərdir.
Bu səviyyələr həmçinin domen idarəçilərində işləyə bilən Windows Server ƏS-nin versiyasını da müəyyən edə bilər.
Ən yaxşı praktika kimi, AD DS-ni yerləşdirərkən, Active Directory-də mövcud olan ən son və ən yaxşı xüsusiyyətlərə imkan vermək üçün domen və meşə üçün funksional səviyyələri maksimum qiymətə təyin edin.
Flexible Single Master Operation (FSMO) rolları Domain Controllers (DC) istifadəçilərin autentifikasiyalarını davam etdirməyə və heç bir ara vermədən icazə verməyə imkan verir.
Başqa sözlə, DC-nin səlahiyyət verilməsi və autentifikasiyası kimi vəzifələr müxtəlif rollara ayrılır və bir çox DC-lərdə yayılır.
Rolların bu ayrılması bir DC aşağı enərsə, tam reduksiya təmin edir.
Beş müxtəlif FSMO Roller var
Schema Master An enterprise səviyyəli FSMO rolu. Bütün meşədə yalnız bir şkema ustası var ki, bu da schema dəyişikliklərini həll etməyə qadirdir.
Domen Adlandırma Master An enterprise səviyyəli FSMO rolu. Domen adlarının idarə edilməsi üzrə məsul olan yalnız bir domen adlandırma ustası var.
Əsas domen idarəçisi Emulator A domen miqyasında FSMO rolu. PDC Emulator rolu olan DC, domen daxilində ən yüksək səlahiyyətə malik DC-dir. Bu rol autentifikasiya xahişləri, parol dəyişiklikləri, qrup siyasəti obyektləri ilə bağlıdır və həmçinin vaxt təmin edir.
Relative Identifier Master The RID domen səviyyəli FSMO roludur. SİD-lərin bloklarını saxlamaq və onları domen daxilində müxtəlif DC-lərə təyin etmək vəzifəsini daşıyır.
infrastructure Master It domenlər arasında GUID, SİD və DN tərcümə edən domen səviyyəli FSMO roludur. Bu rol digər domenlərdə olan digər obyektlərdən istinadlar alır.
AD Recycle Bin , Windows Server 2012 R2's ilə birlikdə gələn əlavə bir xüsusiyyətdir.
Bu funksiya silinmiş obyektləri və onların xüsusiyyətlərini bərpa etməyə imkan verir.
Məsələn, istifadəçi hesablarını təsadüfən domain daxilində çıxarsanız, emal bin onları qrup üzvlüyü, giriş hüququ və s. ilə bərpa etməyə imkan verəcək.
Read-Only Domain Controller (RODC) — AD domain database read-only nüsxəsini saxlayan server.
RODC-nin əsas məqsədi aşağıdakı funksionallıqlarla filiallarda fiziki təhlükəsizliyi yaxşılaşdırmaqdır:
Oxunaqlı xarakter
DNS serverinin mühafizəsi
Parolun idarə edilməsi və mühafizəsi
Admin rolu nümayəndə heyəti
SYSVOL — hər bir domen idarəedicidə (DC) paylaşılan qovluqdur.
Active Directory-dən məlumatları saxlaya və digər domen idarəçilərinə təkrar edə bilər.
SYSVOL, DC-lərin məlumatları bir-birinə təkrar etdiyi yeri təqdim edir.
Active Directory, şəxsiyyətlərin, icazələrin idarə edilməsi və şəbəkənin resurslarına daxil olmaq üçün bir neçə qutudan kənar xidmət göstərir.
Windows Server 2008 və Windows Server 2008 R2-də mövcud olan AD xidmətləri aşağıdakılardır:
Active Directory Certificate Services (AD CS).
Active Directory Domain Services (AD DS).
Active Directory Federation Services (AD FS).
Active Directory Lightweight Directory Services (AD LDS).
Active Directory Rights Management Services (AD RMS).
Active Directory Domain Services (AD DS) Active Directory-də ən populyar server roludur.
Bu, cərgə məlumatlarının saxlanılması texnologiyasını təmin edən direktor xidmətidir. Həmçinin bu məlumatları bütün son istifadəçilər üçün əlçatan və idarə edilə bilən edir.
Active Directory Federasiya Xidməti (AD FS) şəxsiyyət idarəetmə xidmətləri həllidir.
Şəbəkə daxilində veb-proqramlar, veb-saytlar və ya çoxlu resurslar üçün Tək-Tək İmza-On (SSO) giriş nəzarətini təmin edir.
AD FS bir neçə resursa daxil olarkən şərait yaradır. Son istifadəçilər yalnız bu resurslar boyunca onlardan istifadə etmək üçün bir sıra etimadları yadda saxlamalıdırlar.
İstifadəçi iş yerinə imza atdığı zaman, autentifikasiya iddiası AD adından üçüncü tərəfin tətbiqləri tərəfindən istifadə edilə bilər.
AD FS təsdiqedici iddianı etimadnamə yox, göndərir.
Active Directory Rights Management Services (AD RMS) məlumat erişim nəzarət həllidir.
E-poçt, Office docs, veb səhifələr kimi sənədləri qoruyur, şifrələmədən istifadə edir. Bu, həmçinin məlumat əldə etmək siyasətini həyata keçirə bilər.
AD RMS sizə konkret istifadəçilərə girişi inkar/icazə vermək, yalnız hərəkətlərdə dəyişiklik etmək/onları dəyişdirmək, müəyyən əməliyyatları məhdudlaşdırmaq və daha çox imkan verə bilər.
Proqram həmçinin bütün rəqəmsal məzmunu şifrələyir və deşifrə edir.
Active Directory Certificate Services (AD CS) – menecerlərə rəqəmsal sertifikat və imzalar daxil olmaqla Public Key Infrastructure (PKI) yaratmaq və idarə etmək üçün imkan verən server roludur.
Bu alət sertifikat və ictimai açarların yaradılması, idarə edilməsi, yayılması, istifadə edilməsi, saxlanılması və ləğv edilməsi məqsədi ilə vəzifə və siyasət təyin etməyə kömək edir.
Sertifikat təminatı da avtomatlaşdırma apara bilərsiniz.
AD CS ilə yeni sertifikatları qeydiyyatdan keçirmək üçün Active Directory-də tapılan mövcud şəxsiyyət məlumatlarından istifadə edə bilərsiniz. Həmçinin, xüsusi resurslar üzərində konkret sertifikatların həyata keçirilməsi üçün AD qrup siyasətlərini təyin edə bilərsiniz.
Active Directory Lightweight Directory Services (AD LDS) - tətbiqlər üçün LDAP directory xidmətidir.
Bu xidmət AD DS-nin domen məhdudiyyətlərindən müstəqildir.
Başqa sözlə, o, Active Directory, onun domenləri və meşələri ilə hüdudlanmış deyil.
Bu xidməti hər hansı bir tək-tək serverdə işə salmaq olar. AD LDS öz məlumat mağazasını və ona daxil olmaq üçün xidmətləri təqdim edir.
Active Directory DNS
Active Directory-nin funksionallığı Domain Name Server (DNS) ilə sıx bağlıdır.
İlk domen idarəçinizi işə salmaq üçün AD və DNS rolunu quraşdırmaq tələb olunacaq.
Domeniniz daxilində hostnamelərin IP ünvanlarına tərcüməsi üçün DNS-ə ehtiyacınız olacaq.
AD-da olan bütün müştərilər domen idarəçilərini tapmaq üçün DNS-dən istifadə edirlər. Domen idarəçiləri isə ondan bir-biri ilə danışmaq üçün istifadə edirlər.
DNS ad boşluğu internet vasitəsilə istifadə olunur, lakin Active Directory namespace özəl şəbəkənin daxilində istifadə olunur.
A DNS Zone ) — DNS ad boşluğunun bölməsi.
Onlar administrativ və reduksiya səbəbləri ilə ad boşluğuna bölünürlər.
DNS Zones resurs qeydlərindən ibarətdir. Bu, DNS sorğularının həlli üçün istifadə olunan IP və ad məlumatlarının bloklarıdır.
Bəzi ümumi resurs növləri A, AAA, CNAME, MX, NS və daha çox olur.
AD-da çoxlu zona tipləri mövcuddur; ən geniş yayılmışı Active Directory-ə inteqrasiya olunmuş DNS zonasıdır.
Digər zonalar ibtidai, ikinci dərəcəli, stub, irəli baxış, əks-baxış zonaları və Zona transferləridir.
DNS hostnames-i statik IP ünvanlara xəritələr edərkən, Dynamic DNS (DDNS) DHCP kimi xidmətlərdən dinamik olaraq təyin olunmuş IP ünvanlarına adları xəritə edir.
DDNS IP-ünvanlamada dəyişikliklər olduqda DNS serveri avtomatik olaraq yeni məlumatlarla yeniləyir.
AD domen idarəçisində olan müştərilər DDNS-dan istifadə edərək öz resurs sənədlərini dinamik şəkildə qeydiyyatdan keçirib yeniləyirlər.
Məsələn, əgər bir müştəri bir LAN-dan digərinə keçirsə, onun IP ünvanı çox güman ki, dəyişəcək, DDNS dns-də yeni konfiqurasiyanı avtomatik olaraq düzəldəcək.
Servis (SRV) qeydi müəyyən xidmətləri qəbul edən serverlərin yerini müəyyən edir.
Active Directory-də, müştərilər verilən xidmət üçün domen idarəçisini tapmaq istədikdə, DNS-də SRV qeydlərini sorğu edirlər. Yeni domen idarəçisi yaradıldıqda onun SRV qeydləri DNS serverdə qeydiyyatdan keçir.
DNS Forwarderlər bir zonaya aid olmayan və ya lokal olaraq həll edilə bilməyən ünvanlar üçün DNS sorğularını irəli çəkən serverlərdir.
Bu tip serverlər naməlum internet-axtarış və ya ictimai ünvanların bütün sorğularını şəbəkədən kənar DNS-ə göndərməyə kömək edir.
DNS forwarder olmadan DNS server hər dəfə naməlum ünvan olduqda root DNS-ni sorğulamaq məcburiyyətində olardı.
DDNS vasitəsilə əlavə edilmiş və ya əl ilə qeyd edilən stale resurs qeydləri zaman keçdikcə toplanır.
DNS aging və scavenging bu problemi həll edən xidmətdir. Avtomatik təmizləmələr və DNS verilənlər bazasından stale resurs qeydlərinin silinməsini həyata keçirir.
Root Hints
Root Hints - lokal DNS serverinin bacarmadığı hostnameslərin həlli üçün istifadə edilə bilən mənbə qeydlərinin siyahısını təqdim etmək üçün serverdə saxlanılan DNS fayllarıdır.
Kök işarələri faylı kök zonası üçün səlahiyyətli DNS serverlərinin adlarını və IP ünvanlarını ehtiva edir.
Xarici hostnames həll də kömək edən DNS forwarders arasında fərq ondadır ki, Root Hints səlahiyyətli ad serverlərinin siyahısı var, DNS-i irəli çəkənlər isə yalnız dns serverlərinin siyahısı var ki, bu da sorğunu həll etməkdə kömək edə bilər.
Dynamic Node Setup Protocol (DHCP)
DHCP dinamik ünvan ayrılması üçün istifadə olunan şəbəkə idarəetmə protokoludur. Protokol DHCP serverə arxalanaraq avtomatik olaraq IP ünvanları, default gateway və digər məlumatları DHCP müştərilərinə təqdim edir. Active Directory, dhcp serverdən asılı olaraq, müştərilərin müraciətlərinə cavab verməyə başlayır.
DHCP-dən istifadə edən bir müştəri şəbəkəyə bağlandıqda, serveri tapmaq üçün dərhal DHCP kəşfini göndərir və bu da öz növbəsində mövcud ip ünvanı ilə DHCP təklifini göndərir.
DHCP Scope — kompüterlərə paylanmaq üçün mövcud olan IP ünvan aralığı, yəni konkret alt şəbəkədəki DHCP-lər.
DHCP miqyası aşağıdakı hissələrdən ibarətdir:
IP ünvan aralığı DHCP miqyasının aralığı başlanğıc IP ünvanı, son IP ünvanı və altnet maskası ilə müəyyən edilir.
IP ünvan xaric etmək Within a DHCP scope, Siz həmçinin DHCP olmayan müştəriləri xaric edə bilərsiniz. Hər hansı bir IP ünvan toqquşmasından qaçınmaq üçün, statik IP ünvanı olan kompüter, miqyas daxilində xaric edilməlidir.
Icarə müddəti Bu, ünvanlar dəstinin icarə vaxtını müəyyən edir. Başqa sözlə, IP ünvanı ip ünvan hovuzuna qayıtmazdan əvvəl, bir müştəriyə nə qədər vaxt verilir.
Digər qurğular Within the scope, siz həmçinin default gateway, DNS və WINS konfiqurasiya müəyyən edə bilərsiniz.
DHCP Scope, o cümlədən kənarlaşdırmalar IP ünvan hovuz müəyyən edir.
Artıq qurulmuş DHCP miqyasına malik olan DHCP vericisi hovuzdan IP adresləri təyin etməyə başlayır.
DHCP klient şəbəkəni tərk etdikdə IP ünvanı hovuza qaytarılır. Əgər hovuz tükənibsə, IP ünvan aralığının ölçüsü genişləndirilməlidir.
DHCP serveri konkret müştərilərə daimi ünvanları rezerv etmək və ayırmaq üçün konfiqurasiya edilə bilər.
Server ip ünvan hovuzunda ünvanı saxlayır və yalnız MAC ünvanı olan müəyyən edilmiş müştərinin onu almasını təmin edir.
Bu rezervasiyalar IP münaqişələrindən qaçınmaq üçün faydalıdır.
Onlar tez-tez printerlər, serverlər, Vİp iş stansiyaları və s. üçün istifadə olunur.
DHCP filtrasiyası - giriş nəzarəti üçün istifadə olunan serverin funksiyasıdır.
Bu xüsusiyyət ilə, MAC adresləri olan konkret müştərilərə DHCP müraciətlərinə açıq-aşkar icazə verə və inkar edə bilərsiniz.
DHCP filtrasiyası naməlum olan müştərilərin DHCP server tərəfindən dinamik IP ünvanının ayrılmasına mane olur.
DHCP Failover
DHCP failover , DHCP istəkləri üçün qüsur dözümlülüyü və yük balanslaşdırmanı təmin edən Windows Server 2012 xüsusiyyətidir.
DHCP failover ssenarisində iki (və ya daha çox) DHCP server eyni IP hovuz idarə edir.
Əgər bir DHCP server iflasa uğrayarsa, yük avtomatik olaraq digər server tərəfindən alınır.
Yük balanslaşdırmada iki (və ya daha çox) server DHCP client requests bütün bir yük bölüşür, eyni zamanda fault tolerantlıq imkan verir.
Active Directory-də replikasiya domen idarəçiləri arasındakı informasiyanın ardıcıl qalmasına kömək edən prosesdir. Əgər bir domen idarəçisində dəyişiklik edilirsə, AD replikasiya metodları digər DC-lərin vaxtında sinxronlaşdırılmasına kömək edir.
Subnet
Subnet — şəbəkənin adətən router və ya keçidlə bağlı olan məntiqi hissəsi.
Şəbəkə daxilindəki hər alt ağ fərqli BIR TCP/IP adresləmə sxeminə malikdir.
Active Directory-də subnetlər, logon və replikasiya məqsədləri üçün müştərilər və domen idarəçiləri tərəfindən istifadə olunur. Onlar domen idarəçilərinə aralarında ən yaxşı yolu müəyyən etməyə kömək edirlər, replikasiya zamanı.
Active Directory Sites
Saytlar Active Directory daxilində bir və ya bir neçə TCP/IP altğını təmsil edən obyektlərdir.
Hər AD saytının daxilində əlaqə obyektləri ilə əlaqəli domen idarəçiləri mövcuddur.
Bu saytlar şəbəkənin fiziki resurslarının əlçatanlığını nəzərə almaqla replikasiyanın konfiqurasiyasına kömək edir.
Connection Object
Mənbə və məkan domen idarəçiləri arasında, sayt daxilində replikasiya əlaqəsi kimi xidmət edən AD obyektidir.
Connection Object hansı domen idarəçinin hansı digərlə təkrarladığını, onların cədvəlini və həmçinin replikasiya nəqliyyat növünün təyinini müəyyən edir.
KCC
Knowledge Consistency Checker (KCC) – dizin verilənlər bazasında ardıcıllığa zəmanət verən bir qovluq xidməti müəssisəsidir.
Bütün domen idarəçiləri üzərində işə düşür və bütün meşənin replikasiya topologiyasını yaradır.
Əgər replikasiya bir saytda və ya saytlar arasında olarsa, KCC prosesi fərdi topologiyalar yarada bilər.
Active Directory site links saytları bağlamaq üçün yaradılmış məntiqi yollardır və replikasiya zamanı istifadə olunur.
Sayt linki KCC-yə domen idarəçiləri arasında əlaqələr yaratmağa imkan verir.
Vahid sayt link obyekti eyni şəbəkə tipindən istifadə edərək bir-biri ilə danışa bilən saytlar qrupunu təmsil edə bilər.
Site Link bridge
Active Directory Site Link Körpüsü — sayt linkləri arasında məntiqi əlaqəni təmsil edən obyekt.
İki və daha çox kəsilmiş sayt linkləri arasında tranzit yol təmin edir.
Sayt link körpüsü bir-biri ilə əlaqəsi olmayan domen idarəçilərinə bir-birini təkrarlamağa imkan verə bilər.
Global Directory
Global Catalog (GC) — Domen kontroller (DC) üçün məlumat saxlama xidməti. GC-ni idarə edən DC Qlobal Kataloq Serveri kimi tanınır.
GC serverdə obyektlərin tam nüsxələri bir domenin qovluğu daxilində saxlanılır. Həmçinin bütün meşədə olan bütün obyektlərin qismən nüsxəsini də xilas edə bilər.
Meşənin bu qismən replika ilə istifadəçilər və tətbiqlər istənilən domen daxilində obyektləri tez bir zamanda axtarıb tapa bilərlər.
GC istifadəçilərin çox domenli mühitdə obyektləri axtara biləcəkləri kataloqu təqdim edir.
Universal Group Membership Caching
Universal Group Membership Caaching (UGMC) cache-də universal qrupların üzvlük məlumatlarını saxlayır.
GC mövcud olmadıqda UGMC kömək edir, və ya Universal Groups istifadə olunur. Bu şəbəkə bant genişliyi istifadə aradan qaldırılması və həmçinin istifadəçi logon vaxt yaxşılaşdırılması kömək edir.
UGMC replikasiya trafikini minimuma qədər saxlamağa kömək edir.
Active Directory Replication Traffic
Bütün Active Directory boyunca trafik replikasiyası qiymətli bant genişliyi istehlak edə bilər.
KCC, replikasiyanın bir-biri ilə və ya intrasite baş verməsindən asılı olaraq müxtəlif replikasiya topologiyaları yaradır.
Hər bir saytda CG qurmaq replikasiya trafikini azaltmağa kömək edir. Nəqliyyat vasitələrinin iki növü vardır.
Intra-site Replication Domen idarəçiləri eyni saytın bir hissəsi olduqda, AD verilənlər bazasının replikasiyası çox daha sürətli baş verə bilər.
Saytlararası Replikasiya Domen idarəçiləri müxtəlif saytlara aid olduqda. Bu növ replikasiyanın optimallaşdırılması saytlar arasında trafikin azalmasına kömək edə bilər.
Active Directory Security
Kerberos
Kerberos – autentifikasiya protokolu.
Kriptoqrafiyadan istifadə edərək client/server kommunikasiya tətbiqlərində təhlükəsizliyi təmin edir.
Active Directory Server və client arasında autentifikasiya mexanizmlərini təmin etmək üçün Kerberos istifadə edir.
İstifadəçiləri təsdiq edir və domenə giriş imkanı verir.
Kerberos sistemində üç əsas element aşağıdakılardır:
Key Distribution Center (KDC) KDC xidməti bütün biletləri verən Kerberos serverinin əsasını təşkil edir. Bu xidmət bütün Active Directory domen idarəçiləri üzərində fəaliyyət edir. AD klient KDC ilə avtorizasiya etdikdə TGT verir.
Ticket Granting Ticket (TGT) İstifadəçinin IP-ni, qüvvədə olma müddətini və TGT iclas açarlığını ehtiva edən autentifikasiya faylıdır. TGT Kerberos autentifikasiya proseduru zamanı şifrələnir.
Ticket Granting Service (TGS) Bu xidmət TGT-ləri və digər biletləri sistemlərə təqdim edir.
Service Principal Names
Xidmət Əsas Adı (SPN) Kerberos autentifikasiya prosesində istifadə olunan unikal identifikdir.
SPN şəbəkə idarəçi xidməti misalını loqon hesabına bağlayır.
Xidmət hesabı və ya istifadəçi hesabı istifadə edilmədikdə, müştəri tətbiqinə xidmətlərin təsdiq edilməsi üçün SPN istifadə edilə bilər.
NTLM
NT LAN Manager (NTLM) – çətinlik/cavab mexanizmindən istifadə edən digər bir autentifikasiya protokoludur.
Kerberos gəlməzdən əvvəl NTLM geniş istifadə olunurdu.
NTLM hələ də AD-də dəstəklənsə də, Kerberos autentifikasiya üçün üstünlük verilən seçimdir.
NTFS Permissions
NT Fayl Sistemi (NTFS) permissions Microsoft Windows NT sistemlərində fayllara və ya qovluqlara girişin verilməsi və ya rədd edilməsi üçün istifadə olunur.
NTFS icazələri yerli və ya şəbəkə istifadəçilərinə icra edilə bilər.
Bu icazələr istifadəçiyə loqon mərhələsində verilir və ya imtina edilir.
NTFS icazələri aşağıdakılardır:
Tam İdarə
Dəyişdir
Oxu & İcra Et
Oxu
Yaz
Sharing permissions
Paylaşım İcazələri NTFS permissions ilə eyni funksiyaya malikdir. Bu funksiya icazəsiz girişin qarşısını almaqdır.
Amma əsas fərq ondadır ki, Share Permissions yalnız paylaşılan resurslardakı fayl və qovluqlara girişi idarə edir.
Bu tip icazələrdən FAT, FAT32 və NTFS ilə istifadə etmək olar.
Paylaşım icazələrinin növləri aşağıdakılardır:
Oxu
Dəyişdir
Tam İdarə
Windows Access Control Lists
"Microsoft Windows Access Control Lists" (AQL) təhlükəsizlik modelinin əsas elementidir.
Bu siyahılar şəbəkə resurslarına girişi nəzarətdə saxlamağa kömək etmək üçün bir sıra icazələr təqdim edə bilər.
Windows sistemlərindəki hər bir obyekt ACL ilə əlaqələndirilə bilər. Windows, Discretionary (DACL) və System (SACL) adlı iki növ ACL mövcuddur.
ACL-lər Access Control Entries (ACES) tərəfindən formalaşır. Bu, qrupa və ya ayrı-ayrı şəxslərə resurslara daxil olmağa icazə vermək və ya onu inkar etmək üçün ifadələrdir.
DACL və SACL arasında əsas fərq onların AES-ləri arasındadır.
Discretionary Access Control List (DACL) Active Directory obyektinə bağlana bilən icazələr dəstidir. DACL belə bir obyektə daxil ola bilən istifadəçiləri və qrupları təyin edir. Həmçinin obyekt üzərində yerinə yetirilə bilən hərəkətlərin növünü müəyyən edir.
Sistem girişinə nəzarət siyahıları (SACLs) Bu siyahı AD obyektinə daxil olmağa cəhd edən (uğurla və ya uğursuz) istifadəçilərin və qrupların auditlərinin yerinə yetirilməsinə kömək edir.
Fine-grained Password policy
A Fine-Grained Password Policy (FGPP) domen istifadəçiləri üçün parol və hesab kilidi siyasətinin yerləşdirilməsi üçün istifadə olunan Active Directory obyektidir.
FGPP ilə menecerlər ad domaininə hərf növü, minimal şifrə uzunluğu və ya şifrə yaşı kimi parol siyasətlərini həyata keçirə bilərlər.
Group Policy
Group Policy (GP) — istifadəçi və kompüter hesablarının, OS konfiqurasiyasının və proqramlar/istifadəçi qurğularının mərkəzi idarə edilməsi üçün imkan verən Microsoft Windows alətidir.
Qrup siyasəti Active Directory mühiti daxilində istifadə olunur və şifrə siyasəti təyin etmək, ekranı kilidləmək, sistemdə müəyyən hissələrə girişi məhdudlaşdırmaq, ana səhifəni məcbur etmək, hətta konkret skriptləri işə salmaq üçün istifadə edilə bilər.
Group Policy Processing – siyasətin göndərilməsi və alınması prosedurudur.
GpO-lar Active Directory daxilində hər hansı bir istifadəçi və ya kompüter obyektinə tətbiq edildikdən sonra GP avtomatik olaraq bütün qurğuları həmin obyektə göndərəcək.
Klient qurğuları alıb kompüterə qoyacaq.
GPO istifadəçi qurğularının və kompüter qurğularının iki hissəsinə bölünə bilər:
İstifadəçi Qurğuları: İstifadəçi obyektlərinə konfiqurasiya tətbiq edən GPO.
Kompüter Qurğuları: Kompüter obyektlərinə konfiqurasiya tətbiq edən GPO
Group Policy Operation
Group Policy Processing – siyasətin göndərilməsi və alınması prosedurudur.
GpO-lar Active Directory daxilində hər hansı bir istifadəçi və ya kompüter obyektinə tətbiq edildikdən sonra GP avtomatik olaraq bütün qurğuları həmin obyektə göndərəcək.
Klient qurğuları alıb kompüterə qoyacaq.
Group Policy işlənməsi dörd səviyyəli iyerarxiyanı izləyir:
Yerli siyasət
Site səviyyəli siyasətlər
Domen səviyyəli siyasətlər
OU səviyyəli siyasətlər
GPO Legacy
GPO-ları lokal, saytlara, domenlərə və ya OUs-lara aid etmək olar.
Default olaraq, obyektlərlə əlaqəli GPO-lar onların uşaq obyektləri tərəfindən miras alınır.
GPO mirası, adminlərə dörd səviyyəli iyerarxiyada site-level, domain-level və OU-level-ə ümumi siyasət dəstini konfiqurasiya etməyə imkan verir.
Bu GPO Mirası Blok Mirası seçimi ilə pozula bilər. Bu seçim administratorlara gpO-ların domain və ya OU daxilində irsi davranışlarını dəyişdirməyə kömək edə bilər.
GPO Mandatory
GPO Enforced (və ya No Override) - GPO üzərində icra olunan və digər GPO-lar tərəfindən əvəz edilməsinə mane olan qurğudur.
Bu qurğu dörd səviyyəli iyerarxiyada daha yüksək üstünlüklə ziddiyyət təşkil edən GPO-lardan qaçmağa kömək edir.
Outcome Set of Policy (RsoP)
"Resultant Set of Policy" (RsoP) – "GPO" idarəsini sadələşdirən və qabiliyyətin planlaşdırılması ilə təmin edən "Microsoft Windows" utilitdir.
RsoP bütün istifadəçilərə və kompüterlərə tətbiq edilən Active Directory daxilindəki bütün qrup siyasətlərini ehtiva edən hesabata bənzəyir.
Bu hesabat QP-lərin şəbəkəyə necə təsir göstərdiyini göstərə bilər.
Group Policy Settings
Group Policy Preferences – GPO-ların funksionallığını artıran Qrup Siyasəti uzantıları dəstidir.
Bu uzantılar domen boyunca kompüter, server, printer kimi AD obyektləri üçün seçim qurğularını çatdırır.
Bu qurğularla administratorlar printerləri quraşdırmaq, vaxtlanmış tapşırıqlar, qeydiyyat işini konfiqurasiya etmək, güc qurğularını təyin etmək, fayl/qovluq icazələrini konfiqurasiya etmək və daha çox sayda OS və tətbiq qurğularını konfiqurasiya edə və idarə edə bilərlər.
Group Policy Administrative Templates
GP Administrative Templates — istifadəçilərin və maşınların mərkəzləşdirilmiş idarə edilməsi üçün istifadə olunan Qrup Siyasəti xüsusiyyətləri.
Şablonlar fayllardır, uzantıları var . ADM və ya . Yenilənməli olan qeydiyyat açarlarını təsvir etmək üçün Group Policies tərəfindən istifadə edilən ADMX.
administrativ şablonlardan istifadə edərkən kompüterlərdə registrin aparat və istifadəçi hissələrini dəyişdirə bilərsiniz.
Active Directory Management Consoles
Active Directory idarə konsolları gündəlik AD təmiri və fəaliyyəti üçün istifadə edilə bilər.
Bu konsolların bəziləri Microsoft-proprietary, digərləri isə avtomatlaşdırma, hesabat, digər xidmətlərlə inteqrasiya və daha çox müxtəlif idarəetmə imkanları təklif edən üçüncü tərəf həllərdir.
MMC Snap-ins
Konsolların yaradılması və açılması üçün "Microsoft Management Console" (MMC) tətbiq olunur. Bu, Microsoft Windows şəbəkəsi daxilində bütün İt komponentlərinin idarə edilməsi üçün kömək edə bilər.
"Bakı Telefon Rabitəsi" MMC snap-inlərə ev sahibliyi edir. Bu inzibati vasitələr vahid interfeysdən istifadə oluna bilər.
Demək olar ki, bütün Microsoft idarəetmə alətləri MMC snap-ins kimi tətbiq oluna bilər. Lakin MMC mmc APİ-nin köməyi ilə bəzi üçüncü şəxslərin snap-in-lərini də dəstəkləyir.
Active Directory Users and Computers (ADUC)
ADUC AD-ni idarə etmək üçün ən populyar MMC snap-inidir.
O, obyektlər, OUS və onların atributları daxil olmaqla, gündəlik domen idarəsi üçün istifadə olunur.
ADUC (dsa.msc) konsolu AD DS-nin quraşdırılması zamanı əsassız olaraq quraşdırılır.
ADAC konsolu Windows Server 2012 ilə təqdim edildi.
Bu konsol istifadəçi hesablarını, kompüterləri, qrupları, OUs və daha çoxunu yerləşdirmək və idarə etmək üçün istifadə edilə bilər.
ADAC-da ACTIVE Directory Recycle Bin, Fine-Grained Password Policy və Windows PowerShell History Viewer kimi ADUC üzərindən təkmilləşdirilmiş idarəetmə xüsusiyyətləri yer alır.
Active Directory Domains and Renaissances
Active Directory Domains and Trusts — domenlər və meşələr arasında etibar əlaqələrini idarə etməyə imkan verən inzibati konsol.
Bu konsol həmçinin domen və meşə funksional səviyyələrini qaldırmaq və UPN suffiks idarə etmək üçün kömək edir.
Active Directory Sites and Services (ADSS)
ADSS MMC snap-in konsoldur. Əsasən saytların replikasiyası və topologiya obyektləri, subnets, bağlantı obyektləri, qlobal kataloq və universal qrup qəfəsi kimi digər komponentlərin idarə edilməsi üçün istifadə olunur.
Active Directory Service Interfaces Editor (ADSI Edit)
ADSI Edit inkişaf etmiş Active Directory obyekt redaktorudur. AD obyektlərinə və onların hər hansı bir xüsusiyyətinə meşə daxilində baxmağa, dəyişdirməyə və aradan qaldırmağa imkan verir.
ADSI Edit çox vaxt Windows Registry Editor ilə müqayisə olunur, fine-grain nəşrinin səviyyəsinə görə.
Bu alət ADUC kimi konsollarda adətən olmayan məlumatlara daxil olmaq üçün nəzərdə tutulub.
Local Users and Groups
Yerli İstifadəçilər və Qruplar — AD administratorlarına yerli kompüterləri idarə etməyə və təhlükəsizliyini təmin etməyə imkan verən MMC-nin snap-in konsolu (Computer Management altında).
Kompüterdə yerli və ya qrup hesabı üçün icazələr və hüquqlar dəsti vasitəsilə məlumatlara giriş nəzarətini verir.
DHCP
DHCP idarəetməsi üçün istifadə olunan MMC snap-in konsolu (dhcpmgmt.msc).
Bu konsolla IP ünvan aralığını, icarə vaxtını, DNS və WINS server və s. konfiqurasiya edə bilərsiniz.
DNS
DNS MMC snap-in (dnsmgmt.msc) konsolu DNS konfiqurasiyanı idarə etməyə imkan verir.
Bu konsolla SIZ DNS zonaları və resurs qeydləri yarada, baxa və idarə edə bilərsiniz.
Group Policy Management Console
Group Policy Management Console (GPMC) MMC alətidir (gpmc.msc) administratorlara Qrup Siyasəti Obyektlərini (GPOs) vahid konsoldan idarə etməyə imkan verir.
GPMC ilə administratorlar istənilən GP tətbiqini yerləşdirə, idarə edə, baxa və problemləri tapa bilərlər.
Basics of Attacks on Active Directory
Working with PowerView
PowerView, nüfuz testçilərinə təşkilatın Active Directory domeni və meşəsi haqqında hərtərəfli görünüş verən çox güclü PowerShell alətidir. PowerView aləti Active Directory ilə daha yaxşı işləmək üçün yerli PowerShell kodundan (bəzi dəyişikliklərlə) istifadə edir və PowerView-dan istifadə Active Directory siyahıyaalma prosesini xeyli təkmilləşdirəcək.
Aşağıdakı nümunələrdə bir domendə birləşdirilmiş Kali Linux, Bob-PC, Alice-PC və Windows Server 2019 virtual maşınları istifadə olunacaq.
İndi Kali Linux-u işə salırıq, terminal açırıq və aşağıdakı əmrlərdən istifadə edirik:
PowerView daxil olmaqla PowerSploit alətlərini yükləmək və Python3 veb serverini aktivləşdirmək üçün:
Sonra, bir domen istifadəçi hesabından istifadə edərək Bob-PC-yə daxil olun, brauzer açın və Python3 veb serverinə daxil olmaq üçün http://<Kali-Linux-un IP ünvanı>:8080 ünvanına keçin. Buradan PowerView.ps1 faylını Windows 10 müştəri kompüterinizə endirin:
Sonra administrator imtiyazları ilə Əmr əmri açın, Yükləmələr qovluğuna gedin və PowerShell icra siyasətini deaktiv edin:
Sonra PowerShell ilə PowerView istifadəsini aktivləşdirmək üçün aşağıdakı əmrdən istifadə edin:
PS C:\Users\bob.REDTEAMLAB\Downloads> . .\PowerView.ps1
(Əvvəlki əmrdə hər iki nöqtə arasında boşluq var.)
Cari domeniniz haqqında məlumat əldə etmək üçün aşağıdakı əmrdən istifadə edin:
PS C:\Users\bob.REDTEAMLAB\Downloads> Get-NetDomain
Aşağıda göstərildiyi kimi, host adı və domen nəzarətçisi dəyişdirilib.
Cari domenin Təhlükəsizlik İdentifikatorunu (SID) əldə etmək üçün aşağıdakı əmrdən istifadə edin:
PS C:\Users\bob.REDTEAMLAB\Downloads> Get-DomainSID
Cari domen üçün domen siyasətlərinin siyahısını əldə etmək üçün:
Cari domendə domen nəzarətçisinin identifikatorunu əldə etmək üçün aşağıdakı əmrdən istifadə edin:
Və aşağıda göstərildiyi kimi, əməliyyat sistemi, host adı və IP ünvanları kimi domen nəzarətçisi təfərrüatları əldə edildi:
Cari domendəki bütün istifadəçilərin siyahısını əldə etmək üçün aşağıdakı əmrdən istifadə edin:
Aşağıda göstərildiyi kimi, bütün domen istifadəçilərinin hesabları və onların məlumatları əldə edilir:
Cari domendəki bütün kompüter hesablarını siyahıya salmaq üçün:
Cari domendəki bütün cihazlarda bütün fayl paylaşımlarını əldə etmək üçün aşağıdakı əmrdən istifadə edin:
Cari domendəki bütün GPO-ları siyahıya almaq üçün istifadə edin:
Cari "meşə" haqqında xüsusi məlumat əldə etmək üçün aşağıdakı əmrdən istifadə edin:
Cari "meşə"dəki bütün domenləri əldə etmək üçün aşağıdakı əmrdən istifadə edin:
Kataloqdakı bütün obyektlər haqqında məlumatları ehtiva edən cari "meşə" üçün bütün qlobal qovluqları əldə etmək üçün:
Cari istifadəçinin cari domendə yerli administrator hüquqlarına malik olduğu bütün cihazları tapmaq üçün:
Yuxarıdakı əmrlərlə biz Active Directory-dən həssas məlumatları əldə etmək üçün PowerView-dən necə istifadə edəcəyimizi öyrəndik. Toplanmış məlumatdan istifadə etmək sizə istifadəçiləri, siyasətləri, cihazları və domen nəzarətçisini müəyyən edib domenlə uyğunlaşdırmağa kömək edəcək və sizə təhlükəsi olan domen üçün hücum yolu haqqında daha yaxşı fikir verəcək.
Bloodhound
Bloodhound, Windows Active Directory domeninə və meşəsinə nəzarət etmək üçün pentesterlərə hücum yollarını səmərəli şəkildə müəyyənləşdirməyə kömək edən Active Directory məlumat vizuallaşdırma proqramıdır. Ümumiyyətlə, Active Directory-dəki məlumatları buradan əldə etmək olar
SharpHound və ya AzureHound. Məlumat toplandıqdan sonra hücum yolunu təmin etmək və təşkilat daxilində domeni ələ keçirmək üçün Bloodhound tərəfindən emal edilməlidir.
Əvvəlcə Bloodhound-u Kali linux-da quraşdırın:
neo4j işə salındıqdan sonra veb brauzeri açın və http://localhost:7474/ ünvanına keçin.
İndi Kali Linux-da yeni bir terminal açın və Bloodhound-u işə salmaq üçün aşağıdakı əmrdən istifadə edin:
Bloodhound işə salındıqda, giriş məlumatlarınızı daxil edin:
Далее скачаем SharpHound на клиентский компьютер Bob-PC в домене Active Directory. Sonra, Bob-PC-də inzibati əmr satırını açın və PowerShell icra siyasətini deaktiv edin:
Sonra, SharpHound skriptini icra edirik:
İndi Active Directory məlumatlarını domendən çıxarmaq və onu yerli kompüterdə ZIP faylında saxlamaq üçün aşağıdakı əmrdən istifadə edin:
Gördüyünüz kimi, ZIP faylı yaradılıb və saxlanılıb. İndi ZIP qovluğunu Kali Linux-a köçürün və sağ alətlər panelindəki Bloodhound-da ZIP qovluğunu yükləmək üçün Məlumatı Yüklə üzərinə klikləyin. Bütün məlumatları emal etmək bir az vaxt aparacaq.
Bloodhound-un sol tərəfindəki məlumatları emal etdikdən sonra, Active Directory domeni haqqında ümumi məlumata baxmaq üçün menyu işarəsinə klikləyin və Database Info seçin:
Bloodhound, Active Directory domenində hücum yollarını daha yaxşı vizuallaşdırmağa kömək etmək üçün əvvəlcədən analitik sorğuları ehtiva edir. Hazır şablonları görmək üçün Analiz üzərinə klikləyin:
Bütün Domain Adminlərini tap üzərinə klikləyin və domen adminləri üçün hücum yoluna keçin:
Sonra, mümkün hücum yollarına baxmaq üçün Domen Adminlərinə Ən Qısa Yolları Tap klikləyin:
