O Active Directory (AD) é um serviço da Microsoft que facilita o gerenciamento de redes de computadores. Ele fornece uma maneira centralizada de administrar recursos, como usuários, computadores, impressoras e outros dispositivos em uma rede. Aqui estão alguns aspectos importantes sobre o Active Directory: 1. **Gerenciamento Centralizado**: Permite que administradores de TI controlem de forma eficiente e unificada os recursos e usuários da rede a partir de um único ponto. 2. **Autenticação e Autorização**: O AD gerencia as credenciais dos usuários, garantindo que apenas pessoas autorizadas acessem recursos específicos. 3. **Estrutura Hierárquica**: Utiliza uma estrutura lógica e hierárquica, como domínios, árvores e florestas, para organizar recursos e políticas de segurança. 4. **Políticas de Grupo (Group Policies)**: Administradores podem definir políticas para grupos de usuários ou dispositivos, como restrições de software ou configurações de segurança. 5. **Escalabilidade**: Pode suportar desde pequenas redes locais até grandes organizações com milhares de usuários e dispositivos. 6. **Integração com outras Aplicações**: Integra-se com uma variedade de aplicativos e serviços, permitindo uma gestão mais coesa e segura. A importância do Active Directory reside em sua capacidade de assegurar que a rede seja gerida de maneira segura, eficiente e organizada, promovendo um ambiente de TI mais controlado e fácil de administrar. ### Serviços do Active Directory **Kerberos** - **Autenticação**: Kerberos é um protocolo de autenticação que utiliza tickets para permitir que os nós da rede se autentiquem de maneira segura. É importante ressalvar que ele só autoriza, mas não autentica. - **Segurança Melhorada**: Oferece forte criptografia e é amplamente utilizado no Active Directory para garantir que as credenciais dos usuários sejam protegidas. **NTLM (NT LAN Manager)** - **Autenticação Legada**: Protocolo de autenticação mais antigo, usado antes do Kerberos. - **Menos Seguro**: NTLM é menos seguro que Kerberos porque utiliza um método de desafio/resposta que é vulnerável a certos tipos de ataques. - **Compatibilidade**: Ainda é usado para compatibilidade com sistemas legados. **LDAP (Lightweight Directory Access Protocol)** - **Protocolo de Acesso**: Utilizado para acessar e manter serviços de diretório pela rede. - **Consultas e Modificações**: Permite aos usuários e aplicações consultar e modificar informações no Active Directory de forma eficiente. - **Interoperabilidade**: Funciona com diferentes tipos de serviços de diretório, facilitando a integração. **DNS (Domain Name System)** - **Resolução de Nomes**: Traduz nomes de domínio amigáveis (como [www.exemplo.com](http://www.exemplo.com/)) em endereços IP. - **Integração com AD**: Fundamental para o funcionamento do Active Directory, pois permite a localização de serviços e controladores de domínio na rede. **LLMNR (Link-Local Multicast Name Resolution)** - **Resolução Local de Nomes**: Utilizado para resolver nomes de dispositivos dentro de uma rede local sem a necessidade de um servidor DNS. - **Simplicidade**: Facilita a comunicação entre dispositivos em pequenas redes sem configuração de DNS. **WINS (Windows Internet Name Service)** - **Resolução de NetBIOS**: Um serviço legado para resolver nomes de computador NetBIOS para endereços IP em redes Windows. - **Legado**: Está sendo gradualmente substituído pelo DNS, mas é necessário para compatibilidade com aplicativos e sistemas legados. **NBT-NS (NetBIOS over TCP/IP Name Service)** - **Resolução de Nome de Rede**: Um serviço legado para resolver nomes NetBIOS em pequenas redes TCP/IP. - **Compatibilidade**: Usa broadcasts para resolver nomes em uma rede local e é necessário apenas para suportar aplicativos e sistemas mais antigos. É importante ressaltar que o AD On Premisse suporta os seguintes protocolos autenticação: - Kerberos - NTLM - Certificados Digitais - WDigest - **Salva as senhas em texto puro**. Quando a maquina está em nuvem, pode acontecer de encontrar outros tipos de protocolos em nuvem para autenticação: - SAML - OAuth - OpenID Connect - WS Federation - Trust ### Armazenamento de Objetos - Usuários - Grupos - Computadores - Unidades Organizações. - Politicas de Segurança São todos esses dados armazenados em um banco de dados de arquivo único chamado NTDS.DIT. Internamente o NTDS.DIT é dividido em 4 partes que são: - Esquema; - Configuração; - Domínio; - Aplicação. As secrets não são salvos em texto puro, e sim no formato NTLM ou Kerberos. Existe um segundo banco de dados no Windows que armazena as [[Hashs e Autenticação do Windows.|Hashs]] de usuários locais, esse arquivo é chamado de SAM (Security Account Manager). - Hash LM - É um Hash muito frango que pode ser quebrado em segundos, por isso foram desabilitados por padrão no Windows Vista e Windows Server 2008. - Hash NT é o mais forte, e pode ser quebrado em algumas horas, mas ainda não é tão bom pois não utiliza salts. O AD utiliza o conceito de Journaling, que é uma técnica de registrar todas as modificações que ocorrem no banco de dados em um arquivo chamado EDB.log. Nesse arquivo tem o histórico de alterações que foram feitas no arquivo de arquivo principal do AD. Também existe um arquivo EDB.CHK é que o salvo um indicador de qual foi o a ultima alterações.