תהליך כניסה לאקטיב דירקטורי
לכל אובייקט באקטיב דירקטורי יש תעודת זהות ייחודית משלו והיא נקראת SID(security identify)
תהליך הלוגאון באקטיב דירקטורי :
1.ברגע שהמחשב מאומת ומזוהה ע"י השרת של נגיד dc1 אזי הוא מקבל כרטיס כניסה שנקרא TGT(ticket grand ticket) כל זה נעשה מאחורי הקלעים אנו לא ראים את זה וזה נעשה כל הזמן כאשר אני רוצה למשל לגשת לאיזה קובץ .
זה כמו כרטיס כניסה נגיד ללונה פארק וכל פעם שאני בא לבצע איזושהיא פעולה שקשורה איכשהוא לסביבת העבודה שלי אני מציג את הכרטיס שלי ,ובכרטיס הזה שלי יהיה כתוב לי מה מותר לי ומה אסור לי .
עכשיו אם אני יבוא לשרת dc אחר שעובד גם עם האקטיב דירקטורי וגם רשום שם שנקרא נגיד wrt1 אז הוא בודק את הכרטיס ומאפשר לו להיכנס ולעשות את הפעולות שהוא מורשה לעשות .
מה שאני מורשה לעשות עכשיו זה מוגדר בהרשאות הסרבר לא בהגדרות האקטיב דירקטורי .
הכתבה :
כאשר אנו מבצעים לוג און המערכת פונה לשרת הdns ומחפשת רשומה מסוג srv שנקרא
Srv resource recordרשומה זו מכילה מידע אודות השירות אותו אנחנו מבקשים ,
לאחר שקיבלנו מי הוא שרת הdc המחשב שלנו יבצע אימות לשרת .
השרת מעניק לנו TGTאשר מאפשר לנו גישה לשאר השרתים ברשת ,שאר השרתים אינם דורשים מאיתנו לבצע פעולת אימות ומסתפקים בהצגה של הכרטיס .
כאשר תהליך הכניסה צולח נוצר עבור המשתמש tocken (אסימון) המכיל את המזהה הייחודי של המשתמש שנקרא SID .
איך המערכת יודעת באמת מה שם המשתמש והסיסמא שלנו היא לא באמת זוכרת את הפרטים הללו אלא היא עושה פעולה של האש hush שזה חישוב עם אלגוריתם מסוים ומכיל מספר עם הרבה ספרות שמתאים לשם המשתמש הזה .לדוגמא אם אני יעשה קובץ של מילה אחת ואני אשנה אותו למילה אחרת אזי האש הוא לא אותו האש ,משרדי אדריכלים משתמשים המון עם הקובץ הזה משום ששינוי של קו בתשריט משנה את כל העלילה לכן הם תמיד ישלחו קבצים ועוד קובץ אחד שהם עשו לו האש .גם באתרים של מיקרוסופט כשאני מוריד מהם תוכנה הם ישלחו לי קובץ נוסף של האש שאיתו אני יכול לבדוק אם הקובץ שאני מוריד הוא זהה לאותו האש שקיבלתי .
התוכנה נקראת hush calculator .
הפקודה adsiedit.msc נותנת שלי להיכנס לעריכה של ה-schema (האחראית לשינויים המבניים באקטיב דירקטורי) אם אני נכנס לשם ואני הולך ליוסר מסוים או לכל objectאחר ונכנס למאפיינים אני יכול לראות את הSIDשלו .
ה-SIDהוא מזהה ייחודי המתחיל בs1521 המציין סוג של הid שלושת הבלוקים לאחריו מציינים את בסיס הנתונים היכן ששמור החשבון והבלוק האחרון הינו המזהה הייחודי של האובייקט .
אם ברצוננו לדעת מהו הSIDשל האובייקט נפתח את עורך הסכמה ע"י הרצת הפקודה adsiedit.msc
כאשר העורך נפתח לחיצה ימנית על תיקיית adsi editואז לבחור connect to ובחלון שנפתח עכשיו ניתן להרחיב ולהגיע עד לאובייקט הרצוי ולהיכנס למאפייני האובייקט ולחפש שם object sid .
כאשר אנו מבצעים כניסה ישנו שירות אחד המוודא את בקשות הכניסה ונקרא netlogon וזה נמצא רק בשרתי די סי ונעזר בשני פרוטוקולים על מנת לאפשר גישה ואימות :
פרטוקול l dap זהו פרוטוקול הגישה
פרוטוקול Kerberos זהו פרוטוקול האימות
תרגיל :
הפוך את שרת dc2 לאדישינל dc
יש לזכור כאשר אני עושה די סי פרומו אני צריך לעשות זאת עם יוסר שיש לו גישה לעשות זאת הוא צריך להיות דומיין אדמין ,או אנטרפרייז אדמין.
איך אני יכול לדעת אילו הרשאות יש ליוסר dc2admin ?
אזי אני הולך לאקטיב דירקטורי (בdc1 )מסמן את הרוט דומיין ולחיצה ימנית פותחת לנו חלון של find users 'contacts and groupsושם בשם אני רושם dc2admin והוא ייראה לי בחלון הגדול למטה דאבל קליק עליו וזה ייכנס למאפיינים שלו ושם בלשונית member of אני אוכל לראות את סוגי האדמיניסטרציה שיש לו .
עכשיו במהלך ההתקנה של השרת שאנו נגיע לחלון שכותרתו ADDS INSTALATION WIZZARD
בnetwork credentials אני אצטרך להקליד את שם הFQDNשל המחשב שלו אני רוצה לעשות את השכפול ואיך אני מברר מה שם הFQDN? תשובה אני ניגש לשרת הdc1למאפייני המחשב (איפה שאנו רואים את שם המחשב ואם יש למערכת ההפעלה רישיון) ושם אני רואה מה רשום בשם הדומיין ואת זה אני רושם בהתקנת שרת הdc2 בFQDN.
עכשיו מתחת לFQDNהוא שואל אותי האם אני רוצה dc promoעם המשתמש dc2admin (זה מופיע באפור בברירת מחדל) ואם יש לו הרשאות לעשות זאת אז אפשר להמשיך
(ראינו מקודם איך אנו בודקים את סוגי האדמיניסטרציה שיש לו ) ואם אין לו אנו לוחצים על כפתור הset ובוחרים אדמיניסטרטור שכן יכול לעשות dcpromo .
עומר כהן טכנאי מחשבים אשר מספק בין השאר שירותי מחשוב לעסקים
חומר זה נכתב ע"י עומר כהן טכנאי מחשבים פלוס