Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Active Directory biedt de accountdatabase die door het Key Distribution Center (KDC) wordt gebruikt om informatie te verkrijgen over beveiligingsprinciplen in het domein. Elke principal wordt vertegenwoordigd door een accountobject in de map. De versleuteling sleutel die wordt gebruikt bij de communicatie met een gebruiker, computer of service, wordt opgeslagen als een kenmerk van het accountobject van die beveiligingsprincipaal.
Alleen domeincontrollers zijn Active Directory-servers. Elke domeincontroller bewaart een beschrijfbare kopie van de map, zodat accounts kunnen worden gemaakt, wachtwoorden opnieuw kunnen worden ingesteld en groepslidmaatschap kunnen worden gewijzigd op elke domeincontroller. Wijzigingen die zijn aangebracht in één replica van de map, worden automatisch doorgegeven aan alle andere replica's. Windows repliceert het informatiearchief voor Active Directory met behulp van een eigen replicatieprotocol met meerdere masters dat gebruikmaakt van een beveiligde externe procedureaanroepverbinding tussen replicatiepartners. De verbinding maakt gebruik van het Kerberos-verificatieprotocol om wederzijdse verificatie en versleuteling te bieden.
Fysieke opslag van accountgegevens wordt beheerd door de Directory System Agent, een beveiligd proces dat is geïntegreerd met de Local Security Authority (LSA) op de domeincontroller. Clients van de adreslijstservice krijgen nooit directe toegang tot het gegevensarchief. Elke client die toegang wil tot mapgegevens, moet verbinding maken met de directorysysteemagent en vervolgens mapobjecten en hun kenmerken zoeken, lezen en schrijven.
Aanvragen voor toegang tot een object of kenmerk in de map zijn onderworpen aan validatie door mechanismen voor toegangsbeheer van Windows. Net als bestands- en mapobjecten in het NTFS-bestandssysteem worden objecten in de Active Directory beveiligd door toegangsbeheerlijsten (ACL's) die aangeven wie toegang heeft tot het object en op welke manier. In tegenstelling tot bestanden en mappen hebben Active Directory-objecten echter een ACL voor elk van hun kenmerken. Kenmerken voor gevoelige accountgegevens kunnen dus worden beveiligd door meer beperkende machtigingen dan de kenmerken die zijn verleend voor andere kenmerken van het account.
De meest gevoelige informatie over een account is natuurlijk het wachtwoord. Hoewel het wachtwoordkenmerk van een accountobject een versleutelingssleutel opslaat die is afgeleid van een wachtwoord, niet het wachtwoord zelf, is deze sleutel net zo nuttig voor een indringer. Daarom wordt toegang tot het wachtwoordkenmerk van een accountobject alleen verleend aan de accounthouder, nooit aan iemand anders, zelfs niet aan beheerders. Alleen processen met Trusted Computing Base-bevoegdheden( processen die worden uitgevoerd in de beveiligingscontext context van de LSA) mogen wachtwoordgegevens lezen of wijzigen.
Om een offline aanval door iemand met toegang tot de back-upband van een domeincontroller te belemmeren, wordt het wachtwoordkenmerk van een accountobject verder beveiligd door een tweede versleuteling met behulp van een systeemsleutel. Deze versleutelingssleutel kan worden opgeslagen op verwisselbare media, zodat deze afzonderlijk kan worden beveiligd, of kan worden opgeslagen op de domeincontroller, maar wordt beveiligd door een verspreid mechanisme. Beheerders krijgen de mogelijkheid om te kiezen waar de systeemsleutel wordt opgeslagen en welke van verschillende algoritmen wordt gebruikt voor het versleutelen van wachtwoordkenmerken.