アカウント データベース

Active Directory は、キー配布センター (KDC) がドメイン内セキュリティ プリンシパルに関する情報を取得するために使用するアカウント データベースを提供します。 各プリンシパルは、ディレクトリ内のアカウント オブジェクトによって表されます。 暗号化 ユーザー、コンピューター、またはサービスとの通信に使用されるキーは、そのセキュリティ プリンシパルのアカウント オブジェクトの属性として格納されます。

ドメイン コントローラーのみが Active Directory サーバーです。 各ドメイン コントローラーはディレクトリの書き込み可能なコピーを保持するため、アカウントを作成したり、パスワードをリセットしたり、任意のドメイン コントローラーでグループ メンバーシップを変更したりできます。 ディレクトリの 1 つのレプリカに加えられた変更は、他のすべてのレプリカに自動的に反映されます。 Windows は、レプリケーション パートナー間のセキュリティで保護されたリモート プロシージャ コール接続を使用する独自のマルチマスター レプリケーション プロトコルを使用して、Active Directory の情報ストアをレプリケートします。 接続では、Kerberos 認証プロトコル を使用して、相互 認証 と暗号化が提供されます。

アカウント データの物理ストレージは、ドメイン コントローラー上の ローカル セキュリティ機関 (LSA) と統合された保護されたプロセスである、ディレクトリ システム エージェントによって管理されます。 ディレクトリ サービスのクライアントには、データ ストアへの直接アクセス権が与えられることはありません。 ディレクトリ情報にアクセスするクライアントは、ディレクトリ システム エージェントに接続し、ディレクトリ オブジェクトとその属性を検索、読み取り、および書き込む必要があります。

ディレクトリ内のオブジェクトまたは属性にアクセスする要求は、Windows アクセス制御メカニズムによる検証の対象となります。 NTFS ファイル システムのファイル オブジェクトやフォルダー オブジェクトと同様に、Active Directory 内のオブジェクトは、オブジェクトにアクセスできるユーザーと方法を指定するアクセス制御リスト(ACL)によって保護されます。 ただし、ファイルやフォルダーとは異なり、Active Directory オブジェクトには各属性の ACL があります。 したがって、機密性の高いアカウント情報の属性は、アカウントの他の属性に対して付与されたアクセス許可よりも制限の厳しいアクセス許可によって保護できます。

アカウントに関する最も機密性の高い情報は、もちろんそのパスワードです。 アカウント オブジェクトのパスワード属性には、パスワード自体ではなく、パスワードから派生した暗号化キーが格納されますが、このキーは侵入者にとって同様に便利です。 したがって、アカウント オブジェクトのパスワード属性へのアクセスは、アカウント所有者にのみ付与され、他のユーザーには許可されず、管理者にも付与されません。 信頼されたコンピューティング ベース特権を持つプロセス (LSA のセキュリティ コンテキスト で実行されているプロセス) のみが、パスワード情報の読み取りまたは変更を許可されます。

ドメイン コントローラーのバックアップ テープにアクセスできるユーザーによるオフライン攻撃を妨げる目的で、アカウント オブジェクトのパスワード属性は、システム キーを使用した 2 つ目の暗号化によってさらに保護されます。 この暗号化キーは、リムーバブル メディアに保存して個別に保護したり、ドメイン コントローラーに保存できますが、分散メカニズムによって保護したりすることができます。 管理者には、システム キーを格納する場所と、パスワード属性の暗号化に使用するアルゴリズムを選択するオプションが用意されています。