Domein (domain)
Domeinen zijn eenheden van replicatie binnen domain controllers. Ieder domein is identificeerbaar aan de DNS domein naam.
Een of meerdere domeinen welke een "common schema" en "global catalog" delen wordt een forest genoemd. Het eerste domein in een forest wordt een "forest root domain" genoemd. Indien meerdere domeinen in een forest aangrenzende DNS domein namenn hebben wordt deze structuur een "domain tree" genoemd.
Domeinen hebben het volgende voordeel:
- Organiseren van objecten; Het gebruik van organisatorische eenheden binnen een domein heeft hetzelfde voordeel.
- Publiceren van resources en informatie over domein objecten; Door het opdelen in meerdere domeinen kan je informatie splitsen zodat ongelijksoortige gebruikersgroepen (interne medewerkers, klanten, etc.) beter ondersteund worden.
- Delegatie van beheer; Rechten op beheer kunnen fijnmaziger verstrekt worden.
- Security policies en instellingen (zoals wachtwoorden en gebruikersrechten); Deze instellingen overschrijden een domein niet en een doemin heeft zijn eigen "trust" relaties met andere domeinen. Het forest is uiteraard het hoogste niveau.
- Schaalbaarheid; Ieder domein slaat alleen informatie op over de objecten in dat domein.
Organisatorische eenheid (Organizational unit)
Een object dat gebruikt kan worden binnen een domein voor het beheren van gebruikers, groepen, computers en andere organisatorische eenheden. Een OU is de kleinste eenheid voor het toepassen van Group Policy instellingen en gedelegeerd beheer. Met een OU kan de hierarische structuur (zoals afdelingen) van de organisatie gemodelleerd worden binnen het AD en verkleint het aantal domeinen dat nodig is.
Groep (Group)
Een collectie van gebruikers en computer accounts, contacten en andere groepen die beheerd kunnen worden als een enkele eenheid.
- Versimpelen van het toekennen van permissies op een gedeelde resource. Permissies worden op groepsniveau vastgelegd in plaats van bij iedere individueel account.
- Delegeren van beheer door het toekennen van rechten op een groep via een Group Policy.
- Gebruiken voor een e-mail distributielijst
Scope van groepen (Group scope)
Groepen hebben een bepaalde rijkwijkte binnen de "domain tree" of "forest" van Active Directory.
- Domain local; Kan alleen gebruikt worden binnen een enkel domein (waarin deze is aangemaakt) voor het definieren en beheren van toegang tot resources. Lid van deze groep kunnen zijn: global groepen, universal groepen, accounts en andere domain local groepen.
- Global; Kan alleen groepen en accounts bevatten van het domein waarin de groep is aangemaakt. De groep kan permissies krijgen in ieder domein van de "forest".
- Universal; Kan iedere groep en account bevatten uit ieder domein in de "domain tree" of "forest". Deze groep kan in ieder domein van de "domain tree" of "forest" rechten krijgen.
Soorten groepen (group types)
Er bestaan twee soorten groepen.
- Distribution group; Kan alleen gebruikt worden voor e-mail distributie lijsten.
- Security group; Worden gebruikt voor het toekennen van permissies op gedeelde resources en kunnen gebruikt worden als distributies lijst.
Speciale groepen
Er bestaan verschillende soorten ingebouwde identiteiten in het AD die een speciale type groep vertegenwoordigen.
- Anonymous logon; Vertegenwoordigd een groep van gebruikers en services die een computer/resource benadren via het netwerk zonder gebruik te maken van een account naam, wachtwoord of domein naam.
- Everyone; Deze groep vertegenwoordigd alle huidige netwerk gebruikers, inclusief gasten (guest) en gebruikers van een andere domein. Wanneer een gebruiker inlogd op het netwerk wordt deze automatisch toegevoegd aan de Everyone groep.
- Network; Deze groep vertegenwoordigd alle gebruikers wie op dit moment een bepaalde resource benaderen via het netwerk. De groep bevat dus niet de gebruikers die lokaal inloggen op de computer waar deze resource staat. Wanneer een gebruiker het betreffende resource benaderd via het netwerk wordt deze automatisch toegevoegd aan de network groep.
- Interactive; Deze groep vertegenwoordigd alle gebruikers wie op dit moment een bepaalde resource benaderen via de lokale computer. De groep bevat dus niet de gebruikers die via het netwerk inloggen op de computer waarop deze resource staat. Wanneer een gebruiker het betreffende resource benaderd via de lokale computer wordt deze automatisch toegevoegd aan de interactive groep.
Gebruikersaccount (User account)
Een gebruikersaccount representeert een fysieke entiteit zoals een persoon. Daarnaast kan een gebruikersaccount gebruikt worden als een specifiek service account voor een applicatie. Een account krijgt automatisch een SID (security identifier) toegewezen wat gebruikt kan worden om domein resources te benaderen.
- Authenticeert de identiteit van een gebruiker.
- Autoriseert of ontneemt toegang tot domein resources.
De meest belangrijke beveiligingsopties voor accounts zijn:
- User must change password at next logon; Forceert een wachtwoord wijziging bij het inloggen op het netwerk.
- User cannot change password; Gebruiker kan het wachtwoord niet wijzigen. Aan te bevelen instellingen bij Guest account en tijdelijke acounts.
- Password never expires; Het wachtwoord verloopt niet meer. Aan te bevelen instelling voor service accounts die sterke wachtwoorden gebruiken.
- Account is disabled; Het account kan niet gebruikt worden om in te loggen op het netwerk.
- Account is trusted for delegation; Staat een service dat onder dit account draait toe om operaties uit te voeren op naam van (= impersonation) een andere gebruikers account van het netwerk. Deze instelling is alleen beschikbaar voor accounts die uitgerust zijn met SPN's (= Service Principal Names) welke gezet kunnen worden met het setspn commando.
- Account is sensitive and cannot be delegated; Deze instelling kan gebruikt worden om te voorkomen dat het account gebruikt kan worden voor impersonation. Aan te bevelen instelling voor het Guest acocunt en tijdelijke accounts.
Computer account
Computer accounts bieden een manier aan voor het authenticeren en auditen van toegang tot een netwerk en domain resources. Ieder computer account dient uniek te zijn.
Elke computer account heeft een:
- Relative distinguished name; De naam van de computer die ook gebruikt wordt voor de LDAP relative distinguished name.
- Pre-windows 2000 computer naam; Ook wel het SAM (= Security Accounts Manager) account naam genoemd. De naam bestaat uit maximaal 15 bits en bestaat vaak uit de eerste 15 bits van de relative distinguished name.
- Primary Domain Name System (DNS) suffix; De DNS domain naam van het domein waarin het computer account voorkomt.
- DNS host name; Dit is de volledige computer naam of te wel de FQDN (= Fully qualified domain name) die bestaat uit een samenvoeging van de computer naam (de eerste 15 bytes van de SAM account naam) en de primary DNS suffix.
- Service Principal Name (SPN); Dit attribuut kan meerdere waarden bevatten. De SPN wordt gebruikt in het proces van wederzijdse authenticatie tussen client en server van een specifieke service.
Reacties