Active Directory Objects

User Account

A user account is an Active Directory Domain Services (AD DS) object that enables authentication and access to local and network resources.

A user account can be stored:

In AD DS (AD DS account) - AD DS accounts enable log on to domains and provide access to shared network resources.
On the local computer (local account) - Local accounts enable log on to a single computer and local resources

Note: Creating a user account also creates a Security ID (SID)

Security ID

Zie ook Access Controll Explained

Een SID is een uniek identificatienummer dat Windows gebruikt om accounts en groepen te identificeren. Het is uniek binnen een domein (of lokaal systeem).

Voorbeeld van een SID:

S-1-5-21-3623811015-3361044348-30300820-1013

Onderdelen van een SID:

S – geeft aan dat het een SID is
1-5 – revisie en authority (5 = NT authority)
21-3623811015-3361044348-30300820 – domein of lokale machine ID
1013 – RID (Relative Identifier), uniek voor de gebruiker binnen dat domein

Kort: Een SID identificeert de gebruiker of groep in het systeem, en niet de naam. Namen kunnen veranderen; SID blijft hetzelfde.

Windows en Active Directory gebruiken SIDs in Access Control Lists (ACLs) om te bepalen wie toegang heeft tot wat.

Bestanden/folders: elke ACL-entry refereert aan een SID, niet aan een gebruikersnaam.
Registry, services, shares: idem.
AD-objecten: elk object (user, group, computer) krijgt een SID bij creatie.

Belangrijk: AD is object gebaseerd. Als een gebruiker verwijderd wordt en een nieuwe met dezelfde naam wordt aangemaakt, krijgt die een nieuwe SID, dus oude rechten gelden niet automatisch.

Authorization en access control flow in AD

Login / Authentication

Gebruiker logt in met username + password.
AD controleert credentials en genereert een access token.
Dit token bevat:
- User SID
- Group SIDs (groepen waartoe de gebruiker behoort)
- Andere claims zoals privileges

Access Control Check

Wanneer gebruiker een resource probeert te openen (file, folder, service):
1. Windows haalt de ACL van die resource op.
2. Vergelijkt SIDs in de ACL met de SIDs in het access token van de gebruiker.
3. Als er een match is met voldoende permissies → toegang toegestaan; anders → geweigerd.

Effect van groepen

Gebruikers krijgen vaak permissies via groepen.
SID van groep staat ook in token → dezelfde ACL-check werkt voor groepsrechten.

Object Names

Object Name	Example	Uniqueness Requirement
User logon name	Gregory	Must be unique within domain
User logon name (pre-Microsoft® Windows® 2000)	Woodgrove\Gregory	Must be unique within domain
User principal name (UPN)	Gregory@WoodgroveBank.com	Must be unique within forest
LDAP distinguished name	CN=Gregory,OU=IT,DC=WoodgroveBank,DC=com	Will be globally unique, combining RDN, container name, and domain names
Relative distinguished name (RDN)	CN=Gregory	Must be unique in OU

Password options

User object passwords are a significant aspect of network security and can have options configured for:

Password history
Length
Complexity

By default, Windows Server 2016 domain passwords must meet three out of the following four complexity requirements:

Uppercase
Lowercase
Special characters (e.g. !, $, %, #)
Numbers

Computer Account

A computer account is an object in AD DS that identifies a computer in a domain.
Computer accounts:

Are required for authentication and auditing
Enable managing computer by using group policies
Are required for all computers running Windows NT or later

Organizational Unit

An organizational unit (OU):

Is a directory object within the domain
Is the smallest scope or unit to which you can assign Group Policy settings or delegate administrative authority
Can contain users, computers, groups, printers, and other OUs.
Can be put inside other OUs to create a hierarchical design

OUs are used to:

Delegate authority (create users, reset passwords)
Create containers within the domain model to represent logical structures
Create administrative boundaries within the domain
Enforce Group Policy

Groups

AGDLP

Also see Active Directory Best Practises