Fiókadatbázis
Az Active Directory biztosítja azt a fiókadatbázist, amelyet a Kulcsterjesztési központ (KDC) használ a tartománybanbiztonsági tagok adatainak lekéréséhez. Minden tagot egy fiókobjektum jelöl a címtárban. A titkosítási kulcs, amelyet a rendszer a felhasználóval, számítógéppel vagy szolgáltatással való kommunikációhoz használ, a rendszer az adott biztonsági tag fiókobjektumának attribútumaként tárolja.
Csak a tartományvezérlők Active Directory-kiszolgálók. Minden tartományvezérlő megőrzi a címtár írható másolatát, így a fiókok létrehozhatóak, a jelszavak alaphelyzetbe állíthatók, és a csoporttagság bármely tartományvezérlőn módosítható. A címtár egyik replikáján végrehajtott módosítások automatikusan propagálásra kerülnek az összes többi replikára. A Windows replikálja az Active Directory információs tárát egy védett, több főkiszolgálós replikációs protokoll használatával, amely biztonságos távoli eljáráshívási kapcsolatot használ a replikációs partnerek között. A kapcsolat a Kerberos hitelesítési protokoll használatával biztosítja a kölcsönös hitelesítési és titkosítást.
A fiókadatok fizikai tárolását a címtárrendszerügynökkezeli, amely a tartományvezérlő helyi biztonsági szolgáltatói (LSA) integrált védett folyamat. A címtárszolgáltatás ügyfelei soha nem kapnak közvetlen hozzáférést az adattárhoz. Minden olyan ügyfélnek, aki hozzá szeretne férni a címtáradatokhoz, csatlakoznia kell a címtárrendszer-ügynökhöz, majd könyvtárobjektumokat és attribútumaikat kell keresnie, olvasnia és írnia.
A címtárban lévő objektumok vagy attribútumok elérésére irányuló kérelmeket a Windows hozzáférés-vezérlési mechanizmusai ellenőrzik. Az NTFS fájlrendszer fájl- és mappaobjektumaihoz hasonlóan az Active Directoryban lévő objektumokat hozzáférés-vezérlési listák védik (ACL-ek), amelyek meghatározzák, hogy ki és milyen módon férhet hozzá az objektumhoz. A fájloktól és mappáktól eltérően azonban az Active Directory-objektumok minden attribútumukhoz rendelkeznek ACL-sel. Így a bizalmas fiókadatok attribútumai szigorúbb engedélyekkel védhetők, mint a fiók más attribútumaihoz megadottak.
A fiókokkal kapcsolatos legérzékenyebb információk természetesen a jelszó. Bár egy fiókobjektum jelszóattribútuma egy jelszóból származtatott titkosítási kulcsot tárol, nem magát a jelszót, ez a kulcs ugyanolyan hasznos a behatoló számára. Ezért a fiókobjektumok jelszóattribútumához való hozzáférés csak a fióktulajdonosnak, senkinek, még a rendszergazdáknak sem engedélyezett. Csak a megbízható számítási alap jogosultsággal rendelkező folyamatok – az LSA biztonsági környezetében futó folyamatok – olvashatják vagy módosíthatják a jelszóadatokat.
Egy tartományvezérlő biztonsági mentési szalagjának hozzáférésével rendelkező személy offline támadásának akadályozása érdekében a fiókobjektum jelszóattribútumát egy második titkosítás védi egy rendszerkulcs használatával. Ez a titkosítási kulcs tárolható cserélhető adathordozón, így külön védhető, vagy tárolható a tartományvezérlőn, de diszperziós mechanizmussal védhető. A rendszergazdák kiválaszthatják, hogy hol tárolja a rendszerkulcsot, és melyik algoritmussal titkosítja a jelszóattribútumokat.