{"id":14901,"date":"2021-07-12T14:48:06","date_gmt":"2021-07-12T12:48:06","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=14901"},"modified":"2024-04-26T10:01:39","modified_gmt":"2024-04-26T08:01:39","slug":"active-directory-ldap-und-adsisearcher-fahren-auf-sicht-oder-durchblick-haben","status":"publish","type":"post","link":"https:\/\/www.secuinfra.com\/de\/techtalk\/active-directory-ldap-und-adsisearcher-fahren-auf-sicht-oder-durchblick-haben\/","title":{"rendered":"Active Directory, LDAP und adsisearcher &#8211; Fahren auf Sicht oder Durchblick haben?"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/active-directory-ldap-und-adsisearcher-fahren-auf-sicht-oder-durchblick-haben\/#Was_ist_ein_Active_Directory\" >Was ist ein Active Directory?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/active-directory-ldap-und-adsisearcher-fahren-auf-sicht-oder-durchblick-haben\/#Die_Struktur_eines_Active_Directory\" >Die Struktur eines Active Directory<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/active-directory-ldap-und-adsisearcher-fahren-auf-sicht-oder-durchblick-haben\/#Die_Nutzung_von_SystemDirectoryServicesDirectorySearcher\" >Die Nutzung von System.DirectoryServices.DirectorySearcher<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/active-directory-ldap-und-adsisearcher-fahren-auf-sicht-oder-durchblick-haben\/#Serienuebersicht\" >Serien\u00fcbersicht<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Was_ist_ein_Active_Directory\"><\/span>Was ist ein Active Directory?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Microsoft selbst definiert Active Directory in einer technischen Dokumentation wie folgt:<\/p>\n<blockquote><p><em>\u201cActive Directory: The Windows implementation of a general-purpose directory service, which uses LDAP as its primary access protocol. Active Directory stores information about a variety of objects in the network such as user accounts, computer accounts, groups, and all related credential information [\u2026]. Active Directory is either deployed as Active Directory Domain Services (AD DS) or Active Directory Lightweight Directory Services (AD LDS) [\u2026].\u201d<a href=\"#_edn1\" name=\"_ednref1\"><strong>[i]<\/strong><\/a><\/em><\/p><\/blockquote>\n<p>Active Directory besteht architektonisch betrachtet aus den vier Hauptkomponenten\u00a0<strong>L<\/strong>ightweight\u00a0<strong>D<\/strong>irectory\u00a0<strong>A<\/strong>ccess\u00a0<strong>P<\/strong>rotokoll (LDAP), Kerberos,\u00a0<strong>C<\/strong>ommon\u00a0<strong>I<\/strong>nternet\u00a0<strong>F<\/strong>ile\u00a0<strong>S<\/strong>ystem (CIFS) und\u00a0<strong>D<\/strong>omain\u00a0<strong>N<\/strong>ame\u00a0<strong>S<\/strong>ystem (DNS).<\/p>\n<p>Bei\u00a0<em>LDAP<\/em>\u00a0handelt es sich um ein Netzwerkprotokoll, mit dem mittels einer spezifischen Syntax Abfragen (z.B. \u00fcber die Benutzer) und \u00c4nderungen in einem verteilten Verzeichnisdienst durchgef\u00fchrt werden k\u00f6nnen. Hierzu muss auf allen beteiligten Systemen eine \u00dcbertragung m\u00f6glich sein. Standardm\u00e4\u00dfig wird der LDAP-Datenverkehr ungesichert \u00fcber den TCP-Port 389 \u00fcbertragen. Man kann den LDAP-Datenverkehr aber auch mit einer gesicherten TLS Verbindung \u00fcber TCP-Port 636 nutzen.<\/p>\n<p>Das\u00a0<em>Kerberos Protokoll<\/em>\u00a0wird f\u00fcr die Authentifizierung in Active Directory genutzt. Hierbei erh\u00e4lt ein User, der sich beispielsweise mit einem Passwort authentifiziert, ein Ticket Granting Ticket (TGT), mit welchem er dann Tickets f\u00fcr weitere Dienste innerhalb des Netzwerks anfordern kann. Es ist also m\u00f6glich verschiedene Dienste zu nutzen, ohne sich f\u00fcr jede Aktion erneut authentifizieren zu m\u00fcssen.<\/p>\n<p><em>DNS<\/em>\u00a0ist in Active Directory f\u00fcr die Namensaufl\u00f6sung zust\u00e4ndig und wird von Microsoft so definiert:<\/p>\n<blockquote><p><em>\u201cDomain Name System (DNS): A hierarchical, distributed database that contains mappings of domain names to various types of data, such as IP addresses. DNS enables the location of computers and services by user-friendly names, and it also enables the discovery of other information stored in the database.\u201d<a href=\"#_edn2\" name=\"_ednref2\"><strong>[ii]<\/strong><\/a><\/em><\/p><\/blockquote>\n<p>DNS gew\u00e4hrleistet unter Anderem, dass die Domain Controller (DC), die den Verzeichnisdienst bereitstellen, miteinander kommunizieren k\u00f6nnen und Clients nach diesen DCs suchen k\u00f6nnen.<\/p>\n<p><em>CIFS<\/em>\u00a0ist ein Protokoll, dass die Ablage von Dateien und Dokumenten im Netzwerk, sowie auf zentrale Komponenten, wie Drucker erm\u00f6glicht. Zum Auffinden der einzelnen Computersysteme und Dienstinformationen (SRV Resource Record) wird wiederum DNS verwendet.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Die_Struktur_eines_Active_Directory\"><\/span>Die Struktur eines Active Directory<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>In Active Directory werden Domains verwendet, um Organisationsstrukturen nachzubilden; eine Domain ist dabei immer eine Organisationseinheit mit einem eindeutigen Namen, welche u.A. spezifische Sicherheitsrichtlinien und -einstellungen beinhaltet. In der Domain werden Objekte wie Benutzer oder Ger\u00e4te eines Netzwerks inklusive ihrer Attribute gespeichert. Es ist innerhalb der Domain m\u00f6glich, diese Objekte \u00fcber weitere Organisationseinheiten (OU) zu gruppieren. Mehrere Domains k\u00f6nnen jeweils einen Domaintree bilden, bei welchem eine Domain die Root-Domain darstellt, welcher die anderen Domains untergeordnet sind. Alle Domains eines Domaintrees bilden einen fortlaufenden Namen, bei welchem die untergeordnete Domain jeweils den Namen der \u00fcbergeordneten Domain enth\u00e4lt.<\/p>\n<p><strong>Beispiel:<\/strong><\/p>\n<ul>\n<li>Root-Domain = secuinfra.com\n<ul>\n<li>Untergeordnete Domain = cyberdefense.secuinfra.com<\/li>\n<li>Untergeordnete Domain = sales.secuinfra.com<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Dar\u00fcber hinaus ist es auch m\u00f6glich, zwei v\u00f6llig unabh\u00e4ngige Domains oder Domaintrees \u00fcber eine Vertrauensstellung miteinander zu verbinden. Der Zusammenschluss verschiedener Domains wird dann als <em>Forest<\/em>\u00a0bezeichnet. Hierdurch wird die M\u00f6glichkeit geschaffen, auf die Ressourcen einer komplett anderen Domain zuzugreifen, die einen v\u00f6llig anderen Namensraum hat. So kann es z.B. den Benutzern einer Domain m\u00f6glich sein sich auf den Rechnern einer anderen Domain anzumelden, insofern zu dieser eine Vertrauensstellung besteht, welche dies erlaubt.<\/p>\n<p>Active Directory beinhaltet entsprechend eine enorme Menge an Informationen \u00fcber die verwalteten Ressourcen. Dazu geh\u00f6ren unter anderem Benutzer und deren Gruppenzugeh\u00f6rigkeiten, aber auch Informationen zu den Ger\u00e4ten im Netzwerk (z.B. Betriebssystem-Versionen von Computern). Diese Informationen k\u00f6nnen f\u00fcr einen Angreifer sehr interessant sein, da er sie als Basis nutzen kann, um lohnenswerte Ziele und einfache Einfallspunkte wie veraltete Betriebssysteme mit bekannten Schwachstellen zu finden. So kann er seine n\u00e4chsten Schritte planen und sein Vorgehen so anpassen, dass er sich m\u00f6glichst unerkannt in der Infrastruktur bewegt.<\/p>\n<p>Tools wie\u00a0<a  href=\"https:\/\/github.com\/BloodHoundAD\/BloodHound\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Bloodhound<\/a>\u00a0automatisieren und erleichtern die Beschaffung dieser Informationen, indem sie Active-Directory-Umgebungen analysieren und oft unbeabsichtigte Beziehungen innerhalb einer Active-Directory-Umgebung aufdecken. M\u00f6gliche Angriffspfade k\u00f6nnen so identifiziert und dann per Graphentheorie dargestellt werden. Hierbei reichen die Rechte eines beliebigen Active Directory Benutzers zur Abfrage fast s\u00e4mtlicher ben\u00f6tigter Informationen aus.<\/p>\n<p>Daher ist es auch f\u00fcr die Verteidigung des Firmennetzwerkes wichtig, einen guten \u00dcberblick \u00fcber Active Directory zu haben und auf die Informationen aus dem Verzeichnisdienst zugreifen zu k\u00f6nnen. Dies gilt besonders dann, wenn zum Beispiel eine unzureichende oder unvollst\u00e4ndige Dokumentation vorhanden ist oder man die Daten nutzen m\u00f6chte, um Logdaten eines SIEM-Systems anzureichern. Doch wie kann man hier vorgehen?<\/p>\n<p>Man kann nat\u00fcrlich ebenfalls Tools wie Bloodhound nutzen, oder manuell \u00fcber das GUI eines Domain Controllers (DC) Einblick in die Daten nehmen. Grunds\u00e4tzlich gibt es auch eine Vielzahl von Tools, die ein Abrufen der in Active Directory gespeicherten Daten erm\u00f6glicht und nicht zwingend Zugang mit einem privilegierten Account zum DC erfordern.<\/p>\n<p>Viele dieser Tools sind allerdings Drittanbieter-Tools, die erst heruntergeladen und installiert werden m\u00fcssen, was nicht immer m\u00f6glich ist. An dieser Stelle kann man auf eine .NET-Framework Klasse zur\u00fcckgreifen. Das .NET Framework wird seit Windows Vista zusammen mit dem Betriebssystem installiert. F\u00fcr PowerShell 2.0 wurde die .NET Klasse <em>System.DirectoryServices<\/em>, die einen einfachen Zugriff auf Active Directory Domain Services bietet und mit der Komponentenklasse <em>DirectorySearcher<\/em>\u00a0Abfragen mittels PowerShell gegen eine AD Domain erm\u00f6glicht, entwickelt.<\/p>\n<p>Die Abfragen werden \u00fcber das in Active Directory implementierte Lightweight Directory Access Protocol (LDAP) durchgef\u00fchrt. Einen wesentlichen Vorteil, den die Nutzung von PowerShell bietet, ist die M\u00f6glichkeit Abl\u00e4ufe zu Automatisieren und auf die individuellen Bed\u00fcrfnisse anzupassen. So k\u00f6nnen vorgefertigte Abfragen in Form eines PowerShell-Skripts gespeichert werden, welches als Task regelm\u00e4\u00dfig ausgef\u00fchrt werden kann.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Die_Nutzung_von_SystemDirectoryServicesDirectorySearcher\"><\/span>Die Nutzung von System.DirectoryServices.DirectorySearcher<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die Voraussetzungen, um <em>System.DirectoryServices.DirectorySearcher<\/em> zu nutzen, k\u00f6nnen schnell abgehandelt werden:<\/p>\n<ul>\n<li>Ein Computer in der Domain mit einem Windows Betriebssystem, dass neuer ist als Windows 7 \/ Windows Server 2008, inklusive PowerShell.<\/li>\n<\/ul>\n<p>Die Abfrage selbst besteht aus dem Aufruf der Klasse mit Angabe der Suche und der zu verwendenden Methode mit der gesucht werden soll:<\/p>\n<p><strong>([System.DirectoryServices.DirectorySearcher]'(searchquery)&#8216;).Methode()<\/strong><\/p>\n<p>Doch diese Abfrage kann man auch einfacher halten &#8211; mit weniger Tipparbeit und etwas leichter zu merken &#8211; denn f\u00fcr <em>System.DirectoryServices.DirectorySearcher<\/em> gibt es einen Type Accelerator: <em>adsisearcher<\/em>. Type Acceleratoren sind Aliasse f\u00fcr .NET Framework-Klassen und erleichtern, beziehungsweise beschleunigen die Verwendung dieser Klassen haupts\u00e4chlich dadurch, dass sie k\u00fcrzer sind und damit Zeit sparen. Die obige Suchanfrage kann man also mit\u00a0<em>adsisearcher<\/em>\u00a0auch wie folgt ausf\u00fchren:<\/p>\n<p><strong>([adsisearcher]'(searchquery)&#8216;).Methode()<\/strong><\/p>\n<p><em>Adsisearcher<\/em> bietet zahlreiche M\u00f6glichkeiten zum Abfragen von Informationen aus einem Active Directory, bei welchen die Eigenschaften und Methoden eines LDAP-Queries verwendet werden. Es ist es von Vorteil die grundlegende Logik von Filtern bei LDAP-Queries zu verstehen, zum Beispiel, wenn eine Abfrage equal (eindeutig), logisch gleich oder nicht gleich ist:<\/p>\n<ul>\n<li>Equal to (die Suche findet nur Ergebnisse, die mit der Anfrage \u00fcbereinstimmen):<br \/>\n<strong>(sAMAccountName=Knut)<\/strong><\/li>\n<li>Wildcard:<br \/>\n<strong>(sAMAccountName=*Knut*)<\/strong><\/li>\n<li>Gr\u00f6\u00dfer\/Kleiner -Operatoren (vergleicht nicht nur Zahlenwerte, pr\u00fcft auch lexikographische Attributwerte &#8211; also k\u00f6nnen auch Buchstaben und andere Muster verwendet werden):<br \/>\n<strong>(sAMAccountName&gt;=Kn*)<\/strong><br \/>\n<strong>(sAMAccountName&lt;=Kn*)<\/strong><\/li>\n<li>Logical equal to AND (die Suche findet nur Ergebnisse, die mit beiden Suchparametern der Anfrage \u00fcbereinstimmen):<br \/>\n<strong>(&amp;(objectclass=user)(sAMAccountName=Knut))<\/strong><\/li>\n<li>Logical equal to OR (die Suche findet nur Ergebnisse, die mit beiden Suchparametern der Anfrage \u00fcbereinstimmen):<br \/>\n<strong>(|(sAMAccountName=icebear)(sAMAccountName=Knut))<\/strong><\/li>\n<li>Not equal to (die Suche findet nur Ergebnisse, die den in der Anfrage angegebenen Parameter nicht enthalten):<br \/>\n<strong>(!sAMAccountName=Knut)<\/strong><\/li>\n<\/ul>\n<p>Zudem muss man auch eine Methode angeben, mit der die Suche ausgef\u00fchrt werden soll. Hierbei kann man sich entscheiden zwischen <strong>FindAll()<\/strong>\u00a0(gibt eine Sammlung aller gefundenen Eintr\u00e4ge zur\u00fcck) und <strong>FindOne()<\/strong> (gibt nur den ersten gefundenen Eintrag zur\u00fcck).<\/p>\n<p>Relativ einfache Anfragen k\u00f6nnen zum Beispiel nach Benutzern mit bestimmten Namen durchgef\u00fchrt werden. Dazu muss man wissen, dass im Attribut sAMAccountName eines Objekts der Anmeldename f\u00fcr das Konto eines Benutzers gespeichert wird und zwar in der Form eines &#8222;NT Logon Names&#8220;, so wie es auch in der Namensangabe <em>Domain\\Anmeldename<\/em> zusammengesetzt wird. Eine Suche nach dem default Administrator Account, kann man mit einem Filter durchf\u00fchren, der nach dem sAMAccountName <em>Administrator<\/em>\u00a0sucht:<\/p>\n<p><strong>([adsisearcher]'(sAMAccountName=Administrator)&#8216;).FindAll()<\/strong><\/p>\n<p>M\u00f6chte man alle Benutzer finden, deren Benutzername mit\u00a0<strong>th<\/strong>\u00a0beginnt, kann man dies mit einer Wilcardsuche tun:<\/p>\n<p><strong>([adsisearcher]'(sAMAccountName=th*)&#8216;).FindAll()<\/strong><\/p>\n<p>Bei dieser Suche w\u00fcrde man z.B. Objekte mit dem sAMAccountName <em>thorsten.mustermann<\/em>\u00a0oder <em>thomas.testuser<\/em>\u00a0ausgegeben bekommen. Bei jeder Suche erh\u00e4lt man eine <em>SearchResultCollection<\/em>, die mehrere Objekte enth\u00e4lt. Jedes Objekt wiederum enth\u00e4lt jeweils den Pfadnamen des Objektes, sowie eine <em>ResultPropertyCollection<\/em>, in welcher die Attribute des Objektes enthalten sind:<\/p>\n<p><img decoding=\"async\" class=\"alignnone wp-image-14906\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/blog01_pic_sampleoutput-300x20.png\" alt=\"\" width=\"720\" height=\"48\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_sampleoutput-300x20.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_sampleoutput-1024x69.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_sampleoutput-768x52.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_sampleoutput-1536x104.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_sampleoutput-24x2.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_sampleoutput-36x2.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_sampleoutput-48x3.png 48w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_sampleoutput.png 1755w\" sizes=\"(max-width: 720px) 100vw, 720px\" \/><\/p>\n<p>M\u00f6chte man diese Attribute einsehen, kann man diese mit <em>FindAll().properties<\/em> oder <em>FindOne().properties<\/em> aufrufen:<\/p>\n<p><strong>([adsisearcher]'(sAMAccountName=th*)&#8216;).FindAll().properties<\/strong><\/p>\n<p>Als Suchergebnis erh\u00e4lt man die\u00a0<em>ResultPropertyCollection<\/em>\u00a0der Objekte, dargestellt in einer Zuordnung mit\u00a0<em>Name<\/em>\u00a0zu\u00a0<em>Value<\/em>:<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone wp-image-14907\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/blog01_pic_properties-300x161.png\" alt=\"\" width=\"722\" height=\"387\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_properties-300x161.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_properties-1024x549.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_properties-768x412.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_properties-24x13.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_properties-36x19.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_properties-48x26.png 48w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/blog01_pic_properties.png 1491w\" sizes=\"(max-width: 722px) 100vw, 722px\" \/><\/p>\n<p>Bei einer hohen Anzahl an Ergebnissen wird dies allerdings sehr schnell un\u00fcbersichtlich, da die Attribute in PowerShell fortlaufend ohne optische Trennung der einzelnen Objekte ausgegeben werden. Nach jedem der in der\u00a0<em>ResultPropertyCollection<\/em>\u00a0enthaltenen Attribute kann mit einem entsprechenden Suchfilter gesucht werden. Neben diesen relativ einfachen Abfragen kann man mit\u00a0<em>adsisearcher<\/em>\u00a0auch Gruppen rekursiv aufl\u00f6sen &#8211; um z.B. alle Mitglieder, explizite wie implizite, der privilegierten Domain Admins Gruppe zu finden &#8211; oder Bitmaskenabfragen f\u00fcr bestimmte Attribute durchf\u00fchren. In Bitmasken werden verschiedene Einstellungen von Accounts gespeichert. Mit einer Bitmaskenabfrage des Attributs <em>userAccountControl<\/em> kann man zum Beispiel herausfinden, ob ein Account deaktiviert ist oder ob ein User sein Passwort nicht \u00e4ndern kann. Daher lohnt es sich, LDAP und <em>adsisearcher\u00a0zu<\/em> verstehen und sich damit zu besch\u00e4ftigen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Serienuebersicht\"><\/span>Serien\u00fcbersicht<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<ul>\n<li>Active Directory, LDAP und adsisearcher \u2013 Fahren auf Sicht, oder Durchblick haben?<\/li>\n<li><a href=\"https:\/\/www.secuinfra.com\/de\/news\/adsisearcher-get-the-object-of-interest-suchen-nach-spezifischen-usern-und-computern\/\">Adsisearcher \u2013 Get the Object of Interest: Suchen nach spezifischen Usern und Computern<\/a><\/li>\n<li><a href=\"https:\/\/www.secuinfra.com\/de\/news\/adsisearcher-gruppen-rekursiv-aufloesen\/\">Adsisearcher \u2013 Gruppen rekursiv aufl\u00f6sen<\/a><\/li>\n<li>Adsisearcher \u2013 Kein Versteckspiel: User Informationen in der Bitmaske entdecken<\/li>\n<\/ul>\n<p><a href=\"#_ednref1\" name=\"_edn1\">[i]<\/a> [MS-KILE] &#8211; v20210625 Kerberos Protocol Extensions, Copyright \u00a9 2021 Microsoft Corporation Release: June 25, 2021, Seite 8 (https:\/\/winprotocoldoc.blob.core.windows.net\/productionwindowsarchives\/MS-KILE\/%5bMS-KILE%5d.pdf)<\/p>\n<p><a href=\"#_ednref2\" name=\"_edn2\">[ii]<\/a> [MS-KILE] &#8211; v20210625 Kerberos Protocol Extensions, Copyright \u00a9 2021 Microsoft Corporation Release: June 25, 2021, Seite 9 (https:\/\/winprotocoldoc.blob.core.windows.net\/productionwindowsarchives\/MS-KILE\/%5bMS-KILE%5d.pdf)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In Active Directory werden Domains verwendet, um Organisationsstrukturen nachzubilden; eine Domain ist dabei immer eine Organisationseinheit mit einem eindeutigen Namen, welche u.A. spezifische Sicherheitsrichtlinien und -einstellungen beinhaltet.<\/p>\n","protected":false},"author":12,"featured_media":52409,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[91,97,90,66],"tags":[],"dpc_coauthors":[],"class_list":["post-14901","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-active-directory","category-adsisearcher","category-ldap","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14901","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=14901"}],"version-history":[{"count":0,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14901\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/52409"}],"wp:attachment":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=14901"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=14901"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=14901"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=14901"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}