Ntds.dit संरचित कैसे है?

सभी सक्रिय निर्देशिका डेटा को ntds.dit फ़ाइल में डेटाबेस में संग्रहीत किया जाता है। अनुप्रयोगों के विशाल बहुमत ntdsa.dll में लागू DSA परत के माध्यम से निर्देशिका के साथ बातचीत करते हैं। बदले में, ntdsa.dll से कार्य सीधे ntds.dit के साथ काम नहीं करते हैं, उनकी कार्यक्षमता निर्देशिका सेवा की आवश्यकताओं द्वारा सीमित है और वे हमें सक्रिय निर्देशिका डेटाबेस की आंतरिक संरचना का विचार नहीं दे सकते हैं। हालाँकि, ntds.dit JET Blue डेटाबेस से अधिक कुछ नहीं है। विंडोज़ के प्रत्येक संस्करण (विंडोज 2000 से शुरू) में वह सब कुछ है जो आपको इस डेटाबेस के साथ काम करने की आवश्यकता है।

नीचे दिए गए लेख में मैं निम्नलिखित मुद्दों को उजागर करने का प्रयास करूंगा:

• डेटाबेस की संरचना क्या है?
• Ntds.dit में डेटा "ट्री" कैसे उत्पन्न करता है?
• समूह सदस्यता कैसे लागू की जाती है?
• प्रतिकृतिपरमेत्ताडेटा विशेषता का प्रारूप क्या है और प्रतिकृति मेटाडेटा में टाइमस्टैम्प कितने सटीक रूप से संग्रहीत हैं?

आपको ntds.dit को देखने की क्या आवश्यकता है?

कम से कम: esent.dll
ESENT API पर विभिन्न प्रोग्रामिंग भाषाओं के "आरामदायक" उपयोग के लिए, विभिन्न "रैपर" हैं। मैंने C # के साथ संयोजन में मेनेगेड एसेन्ट का उपयोग किया। परियोजना की साइट पर कई उदाहरण हैं, इसलिए मैं बाद में ntds.dit की सामग्री पर ध्यान केंद्रित करने की कोशिश करूंगा।

यह भी ध्यान दिया जाना चाहिए कि जेईटी ब्लू डेटाबेस में पेजसाइज़ जैसा एक पैरामीटर है। डिफ़ॉल्ट रूप से, यह 4096 (esent.dll के उन संस्करणों के लिए जो मैंने सामना किया है)। इसलिए, ntds.dit में, पृष्ठ का आकार 8192 है और डेटाबेस को खोलने से पहले इस पैरामीटर को सही ढंग से सेट किया जाना चाहिए।
ESENT API के कई संस्करण हैं। ये संस्करण असंगत हैं! तो Windows Server 2008 R2 से ntds.dit विंडोज़ xp पर नहीं खुलता है, केवल विंडो 7 पर। (मैंने इसके लिए पूर्ववर्ती जाँच नहीं की है)

प्रश्न एक: डेटाबेस की संरचना क्या है?

GetTableNames फ़ंक्शन डेटाबेस में तालिकाओं की एक सूची लौटाएगा:
डेटाटेबल - सभी कैटलॉग डेटा के साथ मुख्य तालिका
hiddentable
link_table - टेक्नेट पर एक लेख के अनुसार , संबंधित विशेषताओं के बारे में जानकारी के साथ एक तालिका (उदाहरण के लिए, सदस्यऑफ)
quota_rebuild_progress_table
quota_table
sdpropcounttable
sd_table - टेक्नेट पर एक लेख के अनुसार , तालिका में प्रत्येक निर्देशिका ऑब्जेक्ट के लिए विरासत में मिले एक्सेस नियमों के बारे में जानकारी है।

हमें डिटैटेबल टेबल पर रहने दें। इसके स्तंभों की सूची (स्क्रीनशॉट पहले कुछ पंक्तियों में) जैसी दिखती है:

मृत अंत? नहीं!
अधिकांश स्तंभ नाम ATT प्रारूप में हैं <एकल लैटिन अक्षर> <संख्यात्मक कोड>। तो यह डिजिटल कोड सक्रिय निर्देशिका विशेषता के लिए एक विशिष्ट पहचानकर्ता है। तालिका में एक पंक्ति है जिसमें स्तंभ डिजिटल कोड का मूल्य उसके मूल्य से मेल खाता है। यदि हम इस पंक्ति से सभी प्रकार के पाठ काटते हैं, तो हम देखेंगे कि यह "विशेषता" की परिभाषा है।



एक "अनएन्क्रिप्टेड" ATTc0 विशेषता बनी हुई है - यह "ऑब्जेक्टक्लास" का एक संदर्भ है।
ध्यान दें कि सक्रिय निर्देशिका की विशेषताओं को संग्रहीत करने वाले सभी कॉलम योजना की परवाह किए बिना बहु-मूल्य के रूप में सेट किए गए हैं।

प्रश्न दो: ntds.dit में डेटा "ट्री" का उत्पादन कैसे करता है?

कॉलम नाम "DNT_col" यह सुझाव देने के लिए उकसाता है कि यह किसी तरह वस्तु के प्रतिष्ठित नाम से संबंधित है (जैसा कि बाद में पता चला, वे बराबर हैं)
DNT_col कॉलम के मान 1 से शुरू होते हैं, और DNT_col = 1 के साथ लाइन विशेषता मान नाम के साथ एक दिलचस्प वस्तु से मेल खाती है = "$ NOT_AN_OBJECT1 $"
DNT_col = 2 के साथ लाइन में "$ ROOT_OBJECT $" नामक एक वस्तु के गुण होते हैं (रूटीडीएसई के साथ भ्रमित होने की नहीं)
DNT_col = 6 के साथ, objectClass परिभाषाएँ शुरू होती हैं
एक और मृत अंत? फिर नहीं!
दूसरे रास्ते से चलते हैं।
ATTm589825 (नाम) कॉलम को टाइप टेक्स्ट के मान के लिए खोजना "एडमिनिस्ट्रेटर" ने DNT_col = 3841 और PDNT_col = 1951 के साथ एक रिकॉर्ड लौटाया
ATTm589825 (नाम) कॉलम में टेक्स्ट "उपयोगकर्ता" प्रकार के मान के लिए स्तंभ (मानक कंटेनर खाता स्थित है) में एक खोज DNT_col = 1951 और PDNT_col = 1944 के साथ एक प्रविष्टि लौटा दी गई है
यहाँ कनेक्शन है! PDNT_col कॉलम में पैरेंट ऑब्जेक्ट का DNT_col आइडेंटिफ़ायर होता है।
DNT_col = 1944 (PDNT_col = 1943) के साथ लाइन में - एक दूसरे स्तर का डोमेन ऑब्जेक्ट था (ntds.dit दूसरे स्तर के डोमेन नियंत्रक से लिया गया था)
DNT_col = 1943 (PDNT_col = 2) के साथ पंक्ति में - पहले स्तर के डोमेन की वस्तु।


अगर आपने कभी सोचा है: "cn = configuration, dc = contoso, dc = com से ऑब्जेक्ट्स को dc = contoso, dc = com से कनेक्ट होने पर प्रदर्शित क्यों नहीं किया जाता है?" तो आपको NCDNT_col कॉलम पर ध्यान देना चाहिए - इसमें लिंक शामिल हैं नामकरण संदर्भ वस्तु के लिए। (इसके अलावा, प्रथम-स्तरीय डोमेन ऑब्जेक्ट का नामकरण संदर्भ नहीं है - क्या ऐसा हो सकता है कि यह दिखाई न दे?)। नामकरण संदर्भों में वस्तुओं के लिए "dc = contoso, dc = com" और "cn = कॉन्फ़िगरेशन, dc = contoso, dc = com", इस स्तंभ का मान भिन्न है।

कोई भी कम दिलचस्प नहीं है कि इन नंबरों से ऑब्जेक्ट का पूरा प्रतिष्ठित नाम कैसे प्राप्त किया जाता है? ऑब्जेक्ट की कौन सी विशेषता एक सापेक्ष अद्वितीय नाम (RDN) है और इसका उपयोग पूर्ण प्रतिष्ठित नाम बनाने के लिए किया जाता है।
RDNtyp_col कॉलम में RDN युक्त विशेषता पहचानकर्ता (विशेषता) होता है।
CNT_col कॉलम में करंट से जुड़ी वस्तुओं की संख्या होती है। इस स्तंभ का उपयोग लिंक क्लीनर द्वारा किया जाता है ।
यदि OBJ_col कॉलम में बिट 1 पर सेट है, तो यह लाइन डायरेक्टरी ऑब्जेक्ट का वर्णन करती है। अन्यथा, यह एक प्रेत वस्तु है।

सबट्री खोज कैसे लागू की जाती है?
यह स्पष्ट है कि इस तरह की संरचना के साथ, OneLavel की खोज के लिए यह PDNT_col के साथ रिकॉर्ड के बीच खोज करने के लिए पर्याप्त है जो खोज आधार के डीएन के बराबर है, लेकिन उपट्री द्वारा कैसे खोजा जाए? सभी शाखाओं के आसपास जाएं? नहीं, यह बहुत जटिल है।
आइए Ancestors_col बोलने वाले नाम के साथ कॉलम के मान देखें। यह हड़ताली है कि पदानुक्रम में वस्तु जितनी गहरी होती है, इस स्तंभ में उसका मूल्य उतना ही अधिक होता है। प्रत्येक घोंसले का स्तर लंबाई में 4 बाइट्स जोड़ता है। यह पूर्वता के क्रम में मूल वस्तुओं की सूची से अधिक कुछ नहीं है।
इसके अलावा, सूची dn = 2 से शुरू होती है, अर्थात "$ ROOT_OBJECT $" के साथ
कौन है जो पूर्वजों को डेट कर रहा है? दस्तावेज़ के अनुसार , किसी वस्तु को किसी नए स्थान पर ले जाते समय, केवल उसका PDNT_col बदल जाता है, और Ancestors_col का मान SDProp तंत्र द्वारा उसी समय अपडेट किया जाता है, जब ऑब्जेक्ट तक पहुँचने के लिए नए नियमों को पुन: संयोजित किया जाता है।

प्रश्न तीन: समूह सदस्यता कैसे लागू की जाती है?

ऐसा क्यों है कि 2003 के बाद से, सर्वर में एक समूह में असीमित संख्या में उपयोगकर्ताओं को शामिल करने का अवसर है, और ~ 1200 से अधिक मूल्यों को एक स्ट्रिंग या संख्यात्मक बहु-मूल्य विशेषता के लिए नहीं लिखा जा सकता है?
हां, क्योंकि "सदस्य" और "सदस्यऑफ" को लिंक के रूप में परिभाषित किया गया है। इन विशेषताओं से मेल खाने वाली तालिका में कोई स्तंभ नहीं हैं। इन विशेषताओं के मूल्यों को एक अलग लिंक_टेबल में मैपिंग के रूप में लागू किया जाता है।
शायद इसीलिए जब हम किसी समूह को हटाते हैं (रिक्यूबेलिन का उपयोग किए बिना) तो हम उसके सदस्यों के बारे में जानकारी खो देते हैं - दूरस्थ समूह की वस्तु को डीएनटीटी कलर में एक नया पहचानकर्ता प्राप्त होता है जब हटाए गए ऑब्जेक्ट को कंटेनर में ले जाया जाता है (और समूह और उसके सदस्य का कनेक्शन इस पहचानकर्ता का उपयोग करके बनाया गया था)


स्तंभों के नाम और प्रकार संकेतित हैं, और उनमें निहित डेटा का विश्लेषण इसकी पुष्टि करता है:
link_DNT - उस पहचानकर्ता dn को सम्मिलित करता है (DNT_col से मेल खाता है) जिस ऑब्जेक्ट का संचार वर्णित है (उदाहरण के लिए, एक समूह ऑब्जेक्ट)
backlink_DNT - इसमें संबंधित ऑब्जेक्ट की dn पहचानकर्ता शामिल है (उदाहरण के लिए, उपयोगकर्ता ऑब्जेक्ट)
link_ncdnt - इसमें नामकरण संदर्भ का dn पहचानकर्ता होता है जिसमें संचार प्रतिभागी स्थित होते हैं।
link_usnchanged - इसमें अंतिम अंतिम USN परिवर्तन हैं
link_data - मैंने इस क्षेत्र को केवल NTDS सेटिंग्स ऑब्जेक्ट एसोसिएशन के लिए भरा हुआ देखा। हाँ! NTDS सेटिंग्स ऑब्जेक्ट्स में निर्देशिका विभाजन ऑब्जेक्ट्स के साथ लिंक होते हैं। जाहिर है, इन लिंक्स के माध्यम से, विभिन्न निर्देशिका अनुभागों के प्रतिकृति पैरामीटर सेट किए जाते हैं।
link_deltime - लिंक हटाए जाने का समय समाहित करता है।
link_metadata - इसमें किए गए परिवर्तनों को दोहराने के लिए मेटाडेटा आवश्यक है। मैंने केवल विंडोज 2012 पर इस कॉलम के भरे हुए मूल्यों को देखा। क्रिस्टोफर एंडरसन लिखते हैं कि कॉलम में DS_REPL_VALUE_META_DATA संरचना है और यहां मैं इससे पूरी तरह असहमत हूं। DS_REPL_VALUE_META_DATA संरचना का उपयोग उच्च स्तर पर किया जाता है - ntdsa.dll पर कॉल करें इसे वापस करें। इस कॉलम में निहित डेटा DS_REPL_VALUE_META_DATA संरचना के तहत आवश्यक से छोटा है। जबकि यह स्तंभ मेरे लिए एक रहस्य बना हुआ है। सिद्धांत रूप में, लिंक विशेषताओं के लिए प्रतिकृति मेटाडेटा निर्मित msDS-ReplValueMetaData विशेषता से प्राप्त किया जा सकता है, लेकिन यह इस डेटा को संसाधित करने और संग्रहीत करने के लिए आंतरिक तंत्र को प्रकट नहीं करता है।

चौथा सवाल: प्रतिकृतिप्रतिमाता विशेषता का प्रारूप क्या है और प्रतिकृति मेटाडेटा में टाइमस्टैम्प कितने सटीक रूप से संग्रहीत हैं?

यह विशेषता बाइनरी प्रतिकृति मेटाडेटा को संग्रहीत करती है:

इस संरचना के पहले 8 बाइट्स में क्या संग्रहीत है, मुझे अभी तक पता नहीं चला है।
आपको इस तथ्य पर ध्यान देना चाहिए कि केवल प्रतिकृति विशेषताओं को मानों के साथ replPropertyMetaData संरचना में सूचीबद्ध किया गया है। इसलिए, उदाहरण के लिए, आप replPropertyMetaData में logonTimestamp विशेषता पहचानकर्ता नहीं देखेंगे।
एक दिलचस्प बिंदु है: सक्रिय निर्देशिका सुरक्षा ऑब्जेक्ट (उपयोगकर्ता, समूह और कंप्यूटर) के लिए replPropertyMetaData संरचना में, ObjectSid विशेषता मौजूद है।
वैसे, इस विशेषता के मूल्य को समझने के लिए - इस तरह से तनाव करना आवश्यक नहीं है - एक अंतर्निहित विशेषता msDS-ReplAttributeMetaData है - यह replPropertyvetaData के पार्स किए गए मान से अधिक कुछ नहीं दर्शाता है।

सक्रिय निर्देशिका टाइमस्टैम्प 64-बिट अहस्ताक्षरित पूर्णांक हैं जो 00:00 जनवरी 1, 1601 से बीते हुए सेकंड की संख्या को इंगित करते हैं। एक दिलचस्प बारीकियों इस प्रकार है: जब दो डोमेन नियंत्रकों पर एक ही वस्तु की एक विशेषता को 1 सेकंड के लिए संपादित करना (उदाहरण के लिए, जब बैच बड़ी संख्या में उपयोगकर्ताओं को संसाधित करता है), तो एक अप्रत्याशित परिणाम प्राप्त किया जा सकता है।
टेकनेट पर एक लेख के अनुसार, कम GUID वाले नियंत्रक से विशेषता का संस्करण जीतता है।

उपयोग की गई जानकारी:

technet.microsoft.com/en-us/library/cc772829%28v=ws.10%29.aspx
blogs.chrisse.se/2012/02/11/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-1
blogs.chrisse.se/2012/02/15/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-2
blogs.chrisse.se/2012/02/20/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-3
blogs.chrisse.se/2012/02/28/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-4
gexeg.blogspot.ru/2009/12/active-directory.html
www.ntdsxtract.com

सभी प्रयोग ntds.dit पर Windows Server 2012 Eng से किए गए थे

यूपीडी शुरुआत के लिए, एक छोटी सी उपयोगिता जिसे मैंने ntds.dit का अध्ययन करने के लिए लिखा था (शायद यह किसी के अनुरूप होगा)।