Doorgaan naar hoofdcontent

Begrippen met betrekking tot Active Directory

Domein (domain)
Domeinen zijn eenheden van replicatie binnen domain controllers. Ieder domein is identificeerbaar aan de DNS domein naam.

Een of meerdere domeinen welke een "common schema" en "global catalog" delen wordt een forest genoemd. Het eerste domein in een forest wordt een "forest root domain" genoemd. Indien meerdere domeinen in een forest aangrenzende DNS domein namenn hebben wordt deze structuur een "domain tree" genoemd.

Domeinen hebben het volgende voordeel:

  • Organiseren van objecten; Het gebruik van organisatorische eenheden binnen een domein heeft hetzelfde voordeel.
  • Publiceren van resources en informatie over domein objecten; Door het opdelen in meerdere domeinen kan je informatie splitsen zodat ongelijksoortige gebruikersgroepen (interne medewerkers, klanten, etc.) beter ondersteund worden.
  • Delegatie van beheer; Rechten op beheer kunnen fijnmaziger verstrekt worden.
  • Security policies en instellingen (zoals wachtwoorden en gebruikersrechten); Deze instellingen overschrijden een domein niet en een doemin heeft zijn eigen "trust" relaties met andere domeinen. Het forest is uiteraard het hoogste niveau.
  • Schaalbaarheid; Ieder domein slaat alleen informatie op over de objecten in dat domein.

Organisatorische eenheid (Organizational unit)
Een object dat gebruikt kan worden binnen een domein voor het beheren van gebruikers, groepen, computers en andere organisatorische eenheden. Een OU is de kleinste eenheid voor het toepassen van Group Policy instellingen en gedelegeerd beheer. Met een OU kan de hierarische structuur (zoals afdelingen) van de organisatie gemodelleerd worden binnen het AD en verkleint het aantal domeinen dat nodig is.

Groep (Group)
Een collectie van gebruikers en computer accounts, contacten en andere groepen die beheerd kunnen worden als een enkele eenheid.

  • Versimpelen van het toekennen van permissies op een gedeelde resource. Permissies worden op groepsniveau vastgelegd in plaats van bij iedere individueel account.
  • Delegeren van beheer door het toekennen van rechten op een groep via een Group Policy.
  • Gebruiken voor een e-mail distributielijst

Scope van groepen (Group scope)
Groepen hebben een bepaalde rijkwijkte binnen de "domain tree" of "forest" van Active Directory.

  • Domain local; Kan alleen gebruikt worden binnen een enkel domein (waarin deze is aangemaakt) voor het definieren en beheren van toegang tot resources. Lid van deze groep kunnen zijn: global groepen, universal groepen, accounts en andere domain local groepen.
  • Global; Kan alleen groepen en accounts bevatten van het domein waarin de groep is aangemaakt. De groep kan permissies krijgen in ieder domein van de "forest".
  • Universal; Kan iedere groep en account bevatten uit ieder domein in de "domain tree" of "forest". Deze groep kan in ieder domein van de "domain tree" of "forest" rechten krijgen.

Soorten groepen (group types)
Er bestaan twee soorten groepen.

  • Distribution group; Kan alleen gebruikt worden voor e-mail distributie lijsten.
  • Security group; Worden gebruikt voor het toekennen van permissies op gedeelde resources en kunnen gebruikt worden als distributies lijst.

Speciale groepen
Er bestaan verschillende soorten ingebouwde identiteiten in het AD die een speciale type groep vertegenwoordigen.

  • Anonymous logon; Vertegenwoordigd een groep van gebruikers en services die een computer/resource benadren via het netwerk zonder gebruik te maken van een account naam, wachtwoord of domein naam.
  • Everyone; Deze groep vertegenwoordigd alle huidige netwerk gebruikers, inclusief gasten (guest) en gebruikers van een andere domein. Wanneer een gebruiker inlogd op het netwerk wordt deze automatisch toegevoegd aan de Everyone groep.
  • Network; Deze groep vertegenwoordigd alle gebruikers wie op dit moment een bepaalde resource benaderen via het netwerk. De groep bevat dus niet de gebruikers die lokaal inloggen op de computer waar deze resource staat. Wanneer een gebruiker het betreffende resource benaderd via het netwerk wordt deze automatisch toegevoegd aan de network groep.
  • Interactive; Deze groep vertegenwoordigd alle gebruikers wie op dit moment een bepaalde resource benaderen via de lokale computer. De groep bevat dus niet de gebruikers die via het netwerk inloggen op de computer waarop deze resource staat. Wanneer een gebruiker het betreffende resource benaderd via de lokale computer wordt deze automatisch toegevoegd aan de interactive groep.

Gebruikersaccount (User account)
Een gebruikersaccount representeert een fysieke entiteit zoals een persoon. Daarnaast kan een gebruikersaccount gebruikt worden als een specifiek service account voor een applicatie. Een account krijgt automatisch een SID (security identifier) toegewezen wat gebruikt kan worden om domein resources te benaderen.

  • Authenticeert de identiteit van een gebruiker.
  • Autoriseert of ontneemt toegang tot domein resources.

De meest belangrijke beveiligingsopties voor accounts zijn:

  • User must change password at next logon; Forceert een wachtwoord wijziging bij het inloggen op het netwerk.
  • User cannot change password; Gebruiker kan het wachtwoord niet wijzigen. Aan te bevelen instellingen bij Guest account en tijdelijke acounts.
  • Password never expires; Het wachtwoord verloopt niet meer. Aan te bevelen instelling voor service accounts die sterke wachtwoorden gebruiken.
  • Account is disabled; Het account kan niet gebruikt worden om in te loggen op het netwerk.
  • Account is trusted for delegation; Staat een service dat onder dit account draait toe om operaties uit te voeren op naam van (= impersonation) een andere gebruikers account van het netwerk. Deze instelling is alleen beschikbaar voor accounts die uitgerust zijn met SPN's (= Service Principal Names) welke gezet kunnen worden met het setspn commando.
  • Account is sensitive and cannot be delegated; Deze instelling kan gebruikt worden om te voorkomen dat het account gebruikt kan worden voor impersonation. Aan te bevelen instelling voor het Guest acocunt en tijdelijke accounts.

Computer account
Computer accounts bieden een manier aan voor het authenticeren en auditen van toegang tot een netwerk en domain resources. Ieder computer account dient uniek te zijn.

Elke computer account heeft een:

  • Relative distinguished name; De naam van de computer die ook gebruikt wordt voor de LDAP relative distinguished name.
  • Pre-windows 2000 computer naam; Ook wel het SAM (= Security Accounts Manager) account naam genoemd. De naam bestaat uit maximaal 15 bits en bestaat vaak uit de eerste 15 bits van de relative distinguished name.
  • Primary Domain Name System (DNS) suffix; De DNS domain naam van het domein waarin het computer account voorkomt.
  • DNS host name; Dit is de volledige computer naam of te wel de FQDN (= Fully qualified domain name) die bestaat uit een samenvoeging van de computer naam (de eerste 15 bytes van de SAM account naam) en de primary DNS suffix.
  • Service Principal Name (SPN); Dit attribuut kan meerdere waarden bevatten. De SPN wordt gebruikt in het proces van wederzijdse authenticatie tussen client en server van een specifieke service.
Labels:

Reacties

Een reactie posten

Populaire posts van deze blog

Active Directory limieten

Zoals ieder systeem heeft Active Directory ook zijn limieten. Tijdens wat Active Directory research kwam ik het volgende Technet artikel tegen waarin deze worden benoemd: Active Directory Maximum Limits . Kort samengevat zijn de limieten: Maximum aantal objecten per domain controller in een forest : ongeveer 2,5 biljoen (gedurende de volledige levensduur). Maximum aantal security identifiers (SID's) per domein : ongeveer 1 biljoen (gedurende de volledige levensduur). Aantal groepen waarvan een security indentifier (persoon, groep, computer account) lid kan zijn : ongeveer 1.015 groepen. FQDN lengte limiet : maximum lengte is 64 tekens (dit is inclusief punten en mintekens) voor de fully qualified domain name (FQDN). Bestandsnaam limiet : Windows kent een pad lengte limiet van 260 tekens. Deze is ook van toepassing op de fysieke bestanden van AD zoals SYSVOL. Organisational unit limiet : maximum lengte is 64 tekens. Heeft te maken met de Windows limiet van 260 tekens die in de gaten
Een reactie posten
Meer lezen

Winsxs folder neemt veel ruimte in

In Windows Millenium is de Winsxs folder geintroduceerd. Deze folder bevat meerdere versies van in gebruik zijnde DLL bestanden. Het doel hiervan is dat iedere programma de juiste versie van de benodigde DLL kan gebruiken. Dit principe staat ook wel bekend als "Windows Side by Side". De folder die hiervoor gebruikt wordt is dus "C:\Windows\winsxs" en deze folder vormt dus de native assembly cache. In een tijd dat het vrij normaal is dat een computer is voorzien van een 500 GB harde schijf is de overhead van meerdere versies van een bestand opslaan niet echt een probleem. Echter in mijn geval wel. Op een van mijn multi boot computers heb ik een Vista Ultimate (met daarop Vista, MS Office en enkele andere programa's) van 32 GB. Mijn (persoonlijke) data staat op een aparte partitie. Door de installatie van de vele Windows updates is de vrije ruimte op deze partitie gezakt tot 2,85 GB (en dus in de rode waarschuwingszone terecht gekomen). Van de 32 GB is meer dan
Een reactie posten
Meer lezen

Bevindingen over de E-tech ADWG02 tot nu toe

Ik heb de E-tech ADWG02 nu bijna een week in gebruik. Dit is de vervangende modem voor de buggy Linksys WAG54G die ik eerder gekocht had. Mijn bevindingen over de E-tech tot nu toe: Geen crashes tot nu toe. De firmware lijkt op dat punt stabiel. Het apparaat is niet door middel van een knop aan of uit te zetten. Erg vervelend omdat ik het apparaat alleen uit kan zetten door de stekker uit het stopcontact te halen. De reden dat ik hem graag uit wil kunnen zetten is dat het apparaat in de woonkamer staat (in het zicht) en de lampjes nogal fel schijnen. Dat vind ik niet erg prettig. Daarnaast wil ik niet dat de verbinding de gehele dag open staat uit beveiligingsoverwegingen en vanwege het stroomverbruik. WIFI is middels een setting uit te zetten. Als je de setting uitvinkt en bevestigd door middel van een 'apply' zie je het lampje uitgaan op de ADSL modem. Er is op dat moment ook geen WIFI verbinding actief. Sla je de setting definitief op dan reboot de modem automat
Een reactie posten
Meer lezen