계정 데이터베이스

Active Directory는 KDC( 키 배포 센터 )가 도메인의 보안 주체 에 대한 정보를 가져오는 데 사용하는 계정 데이터베이스를 제공합니다. 각 보안 주체는 디렉터리의 계정 개체로 표시됩니다. 사용자, 컴퓨터 또는 서비스와 통신하는 데 사용되는 암호화 키는 해당 보안 주체의 계정 개체 특성으로 저장됩니다.

도메인 컨트롤러만 Active Directory 서버입니다. 각 도메인 컨트롤러는 디렉터리의 쓰기 가능한 복사본을 유지하므로 모든 도메인 컨트롤러에서 계정을 만들고, 암호를 재설정하고, 그룹 멤버 자격을 수정할 수 있습니다. 디렉터리의 한 복제본(replica) 변경 내용은 다른 모든 복제본에 자동으로 전파됩니다. Windows는 복제 파트너 간의 보안 원격 프로시저 호출 연결을 사용하는 독점 다중 master 복제 프로토콜을 사용하여 Active Directory에 대한 정보 저장소를 복제합니다. 연결은 Kerberos 인증 프로토콜 을 사용하여 상호 인증 및 암호화를 제공합니다.

계정 데이터의 물리적 스토리지는 도메인 컨트롤러의 LSA(로컬 보안 기관)와 통합된 보호 프로세스인 디렉터리 시스템 에이전트에 의해 관리됩니다. 디렉터리 서비스의 클라이언트에는 데이터 저장소에 대한 직접 액세스 권한이 부여되지 않습니다. 디렉터리 정보에 액세스하려는 모든 클라이언트는 디렉터리 시스템 에이전트에 연결한 다음 디렉터리 개체 및 해당 특성을 검색, 읽기 및 작성해야 합니다.

디렉터리의 개체 또는 특성에 액세스하는 요청은 Windows 액세스 제어 메커니즘의 유효성 검사를 받습니다. NTFS 파일 시스템의 파일 및 폴더 개체와 마찬가지로 Active Directory의 개체는 개체에 액세스할 수 있는 사용자와 어떤 방식으로 액세스할 수 있는지를 지정하는 ACL( 액세스 제어 목록 )으로 보호됩니다. 그러나 파일 및 폴더와 달리 Active Directory 개체에는 각 특성에 대한 ACL이 있습니다. 따라서 중요한 계정 정보에 대한 특성은 계정의 다른 특성에 대해 부여된 특성보다 더 제한적인 권한으로 보호할 수 있습니다.

계정에 대한 가장 중요한 정보는 물론 암호입니다. 계정 개체의 암호 특성은 암호 자체가 아니라 암호에서 파생된 암호화 키를 저장하지만 이 키는 침입자에게도 유용합니다. 따라서 계정 개체의 암호 특성에 대한 액세스 권한은 계정 소유자에게만 부여되며, 다른 사람에게는 부여되지 않으며 관리자에게도 부여되지 않습니다. 신뢰할 수 있는 컴퓨팅 기본 권한이 있는 프로세스(LSA의 보안 컨텍스트 에서 실행되는 프로세스)만 암호 정보를 읽거나 변경할 수 있습니다.

도메인 컨트롤러의 백업 테이프에 액세스할 수 있는 사용자의 오프라인 공격을 방해하기 위해 계정 개체의 암호 특성은 시스템 키를 사용하는 두 번째 암호화로 추가로 보호됩니다. 이 암호화 키를 이동식 미디어에 저장하여 별도로 보호하거나 도메인 컨트롤러에 저장하지만 분산 메커니즘으로 보호할 수 있습니다. 관리자에게는 시스템 키가 저장되는 위치와 암호 특성을 암호화하는 데 사용되는 여러 알고리즘을 선택할 수 있는 옵션이 제공됩니다.