Recopilación de información
Recopilación de información en AD
Auditoría externa: sin acceso lógico ni físico
Auditoría interna: con acceso
1sin credenciales de usuario de dominio
2con credenciales
2.1credenciales de usuario sin privilegios (Pelao)
2.2 Credenciales de usuario con privilegios (administrador)


Recopilación local de información
-SAM se corresponde con una base de datos que almacena la información de usuarios, grupos etc
La base de datos SAM se comprueba por LSA para autenticar el acceso de los usuarios al sistema local
Las contraseñas se almacenan hacheadas en el Registoe de Windows(HKLM/SAM) en la ruta %SystemRoot%/system32/config/SAM
La SAM se puede enumerar de forma local y remota, solo se puede enumerar información local, no los usuarios de dominio
A partir de win10 y win server 2016 solo pueden enumerar administradores, versiones anteriores cualquier.

Recopilación remota de información
El protocolo LDAP puede interactuar con la base de datos de forma remota únicamente, independientemente de sus privilegios puede consultar NTDS.dit


