筆者有話要縮：

AD 術語 part 2 (?) 在深挖之前，還是需要知道別人講的名詞到底是什麼對吧ＸＤ
但是講生硬的名詞解釋真的看不懂，所以會嘗試用比喻的方式讓大家理解～

AD 真麻煩之術語第二彈...

sAMAccountName

這個是用戶的登入名稱，例如 bjones。它就像一個公司的員工工號，必須是唯一的，並且不能超過 20 個字符。

userPrincipalName

這是另一種辨識用戶的方式，它的格式像一封電子郵件，例如 bjones@inlanefreight.local。這個屬性不是必須的，就像你不一定非要有公司email一樣。

FSMO 角色

Active Directory 的域控制器 (DC) 之間有很多分工，早期如果有多個 DC 同時進行更改，可能會出現混亂。

為了解決這個問題，微軟「引入了 FSMO 角色」，它就像一群分工明確的主管，每個人負責不同的部分。

這些角色分別負責不同的功能，比如管理數據架構、分配 ID 編號、處理身份驗證等。

「如果其中一個主管（角色）出問題，其他人可以繼續維持系統的運作」。

這邊的FSMO角色會在後續進行講解～

全域目錄 (Global Catalog)

全域目錄就像一個電話簿，它儲存了整個 Active Directory 森林中的所有對象訊息。

它不僅有本域內的完整訊息，還有其他域中的部分數據。

這樣一來，不管你在哪個域（domain)，都可以快速找到任何對象，就像拿著一本涵蓋所有分公司的電話簿一樣。

只讀域控制器 (RODC)

RODC 就像公司中的只讀檔案資料夾。

它不能修改資料，只能進行查閱，而且不會緩存密碼。

這樣做可以減少網絡流量，也防止被人修改重要數據。

複製 (Replication)

複製在 AD 中就像備份工作，當一個域控制器上的數據被更新後，這些變更會同步到其他域控制器，確保所有系統都有一致的數據，這樣當某個系統出現問題時，其他系統還能繼續運作。

服務主體名稱 (SPN)

SPN 就像系統裡的服務代號，它用來標識某個服務實例，讓系統能找到該服務，並正確地進行身份驗證。

群組策略對象 (GPO)

GPO 就像公司內的規章制度，它可以套用到整個公司或特定部門（組織單位），來規範用戶和計算機的行為。

每個 GPO 都有一個唯一的編號，就像每個制度都有一個標題或編號。

訪問控制列表 (ACL)

ACL 是一組「門禁名單」，用來決定誰能進入某個系統資源，這些「門禁條目」一條條列出誰有權限、誰被拒絕或監控。

訪問控制條目 (ACE)

ACL 中的每個訪問控制條目 (ACE) 都識別一個受信者（用戶帳戶、群組帳戶或登錄會話），並列出允許、拒絕或審計的訪問權限。

系統訪問控制列表 (SACL)

SACL 允許管理員記錄對受保護對象的訪問嘗試。ACE 指定了觸發系統生成安全事件日誌記錄的訪問嘗試類型。

任意訪問控制列表 (DACL)

DACL 就是「決定哪些人或程式可以訪問某個對象的規則」。

如果對象沒有 DACL，那麼任何人都可以訪問；但如果 DACL 沒有列出任何條目，那麼所有訪問都會被拒絕。

它就像是門衛在門口檢查通行證，沒有通行證的人不讓進。

DACL 定義「授予或拒絕哪些安全主體對對象的訪問權限」；

它包含 ACE 的列表。當進程嘗試訪問可保護的對象時，系統會檢查對象的 DACL 中的 ACE 以確定是否授予訪問權。

如果對象沒有 DACL，則系統將授予所有人的完全訪問權限；

如果 DACL 中沒有 ACE 條目，則系統將拒絕所有訪問嘗試。

DACL 中的 ACE 會按順序檢查，直到找到允許的請求權限或拒絕訪問為止。

完全限定域名 (FQDN)

FQDN 就像一個地址，它用來標識某台計算機的具體位置，它的格式為[主機名].[域名].[頂級域]

這個地址包括主機名和域名，類似於街道地址，如 DC01.INLANEFREIGHT.LOCAL，就像你要找一個具體位置需要知道國家、城市和街道一樣。

墓碑 (Tombstone)

墓碑是 AD 中保存已刪除對象的容器對象，就像 AD 中的「垃圾桶」，當一個對象被刪除時，會將 isDeleted 屬性設置為 TRUE，它不會立即消失，而是保留一段時間，方便恢復。

至於壽命的部分...

微軟建議將墓碑壽命設置為 180 天，以提高備份的效用，但這個值可能因環境而異。

根據域控制器操作系統版本，默認值為 60 或 180 天。

不過需要注意的是！

有無啟用回收站很重要

「如果在沒有啟用 AD 回收站的域中刪除了對象，它將成為墓碑對象」。

此時，對象的大多數屬性會被刪除，並將其放置在墓碑壽命期間的 Deleted Objects 容器中。

雖然可以恢復對象，但丟失的屬性將無法恢復。

如果超過了保留期，這個對象將會被永久刪除。

AD 回收站 (AD Recycle Bin)

AD 回收站就像我們常用的電腦回收站，當你刪除一個對象後，它會保留一段時間，允許你在需要時恢復，這樣就避免了手動備份的麻煩。

這個功能讓系統管理員更輕鬆地找回意外刪除的對象。

今日心得

最近職涯上有一些變動，想要嘗試很多新的東西
第一次體會到「有質量＆有同理心的輸出」才是最佳的學習方法
為了深刻學習，以往看個文章都要看兩三遍才能懂，花好幾倍的時間才能有效輸出並且說服自己...
不過一切都會變得更好的～ 希望讀者有興趣也可以繼續follow此系列
以後有時間也會嘗試各種輸出方式，拍影片之類的

參考資源

https://academy.hackthebox.com/

最後附上緩慢的學習截圖～
之後都會更好的吧！
面對不足，才能正視問題，謝謝身旁的貴人們