今天來講講AD基礎知識
先來介紹AD是個什麼東西

Active Directory(AD)

微軟的集中式帳號與資源管理系統

• 主要功能
  • 使用者帳號管理
  • 群組管理
  • 電腦管理
  • 印表機、伺服器、共用資源存取控制
• 好處：
  • 使用者只需一組帳號即可登入並存取整個網域內的資源

核心元件

• Domain (網域)：AD 的邏輯邊界，類似一個公司的範圍。
• Domain Controller(DC)：執行 AD 服務的伺服器，負責驗證登入、授權存取。
• Forest：
  • 一個或多個Domain的集合，可有不同命名間
  • 例：
    • thm.local
    • mht.com
  • 兩家公司合併後可共存於同一森林中，各自管理但能互通
• Tree：
  • 多個Domain之間形成的階層結構
  • 例：thm.local → uk.thm.local 與 us.thm.local
  • 各子網域有自己的 DC 與管理員，僅能管理各自範圍
  • 可針對不同網域套用獨立策略
• Organizational Unit (OU)：
  • 容器，用來分組使用者/電腦
  • 方便套用群組原則(GPO)
  • 常依照部門、地點等來分類IT、HR、Sales）

常見物件 (Objects)

1. 使用者(Users)

• 安全主體 (Security Principal)可驗證與授權。
• 有兩類：
  • 人員帳號：一般員工、管理員
  • 服務帳號：IIS、MSSQL等服務需要的帳號

2. 電腦(Computers)

• 每台加入網域的電腦會有對應帳號
  • 格式：電腦名稱$，如 DC01$
• 電腦帳號密碼會自動定期輪換
  • 固定為120個隨機字元

3. 安全群組(Security Groups)

• 用來集中分配權限
• 群組可以包含使用者、電腦，甚至其他群組
• 常見預設群組：
  • Domain Admins → 網域最高權限
  • Server Operators → 管理 DC
  • Backup Operators → 存取所有檔案（備份用）
  • Account Operators → 建立 / 修改帳號
  • Domain Users → 網域所有使用者
  • Domain Computers → 網域所有電腦
  • Domain Controllers → 網域所有 DC

4. 群組原則(GPO, Group Policy Objects)

• GPO是AD的一大特色，用來統一管理電腦與使用者的設定
• 透過GPO可以集中控管：
  • 安全性設定（密碼長度、登入限制）
  • 系統配置（桌布、USB禁用、應用程式安裝）
  • 軟體部署
• 套用方式：
  • GPO可以連結到網域(Domain)或OU(Organizational Unit)
  • 影響範圍內的使用者 / 電腦會自動套用策略

5. 驗證協定(Authentication Protocols)

• 在Windows AD網域中，有兩種常見的驗證協定：

Kerberos

• AD預設的驗證協定
• 流程：
  1. 使用者登入時，向 DC 請求 票據 (Ticket)
  2. DC 確認身份後發給「票據授權票 (TGT)」
  3. 使用者持 TGT 去請求服務存取票 (Service Ticket)
  4. 使用者憑票據存取伺服器資源
• 優點：
  • 安全性高
  • 不會像NTLM那樣傳送可重放的hash

NTLM (NetNTLM)

• 舊的驗證協定，AD仍保留支援。
• 驗證方式：
  • 使用者密碼 → Hash → 透過「挑戰/回應」(Challenge-Response)方式驗證。
• 缺點：
  • 容易被攔截與離線破（如Pass-the-Hash攻擊）。
• 用途：
  • 當Kerberos不可用時（例如工作組環境，或某些舊系統），會退回使用NTLM

AD 使用工具

• Active Directory Users and Computers (ADUC)
  • 建立/修改/刪除使用者、群組、電腦
  • 重設密碼
  • 管理OU層級結構

OU 與群組的差異

• OU：用來套用政策（GPO），每個使用者只能屬於一個 OU
• 群組：用來控制資源權限，一個使用者可以屬於多個群組

總結：
AD就是企業網路裡的「身份與資源控管中心」，核心是Domain+DC+OU+群組，透過它可以集中管理誰(使用者/電腦)可以存取 什麼(資源/服務)

信任關係（Trusts）

這個跟剛剛提到的核心元件裡的domain、tree和forest比較有關

• 讓不同domain或forest中的使用者可以存取其他domain的資源
  單向信任：A信任B → B的使用者可被授權存取A的資源
  雙向信任：A與B互信 → 雙方使用者可被授權存取對方資源

注意：信任關係≠自動擁有存取權，仍需額外授權