域介绍
升级版的工作组,多了一层权限管理认证控制
域是一种网络组织和管理的方式,它通过将计算机、用户和其他网络资源组织成一个逻辑上的集合,方便集中管理和控制。域可以包含多个计算机和用户,并提供单点登录、权限管理和集中的用户认证等功能。
内网和域之间的关系: 域可以在内网中使用,通过域控制器来管理和控制内网中的计算机和用户。域控制器是一个服务器,它负责维护域中的用户帐户、权限和安全策略等信息。在域环境中,用户可以使用域帐户登录到任何连接到该域的计算机,并访问共享资源和服务。
总结: 内网是一个私有网络,而域是一种在内网中组织和管理计算机和用户的方式,提供集中的用户认证和权限控制。通过域,内网可以实现更高级的网络管理和安全控制。
域控制器(DC)
介绍
域控制器(Domain Controller,简写为DC)是用来管理域内所有客户端的服务器,其中存在由这个域的账号、密码、域内的计算机等信息构成的数据库(AD活动目录);相当于一个单位的门卫一样,它负责每一台联入的电脑和用户的验证工作,域中所有计算机想要互相访问,都要经过DC的审核验证。
域控是域架构的核心。一个域中至少要有两台域控,1台作为主域控,1台作为备份域控;备份域控主要是在主域控瘫痪时,为整个域继续提供正常的服务。
分类
PDC (Primary Domain Controller): 主域控制器,用于处理域中主要身份验证和账户管理任务的服务器。
BDC (Backup Domain Controller): 备份域控制器,除了PDC以外的其他DC,一个域只能有一个 PDC,可以有0~n 个BDC
RODC(Read-Only Domain Controller): 只读域控制器,是 Windows Server 2008 操作系统中的一种新类型的域控制器,不允许对 AD 的数据进行修改。借助 RODC,组织可以在无法保证物理安全性的位置中轻松部署域控制器。
延伸阅读
活动目录(AD)
介绍
活动目录(Active Directory,简称AD)是域环境中提供目录服务的组件。目录是存储有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息。目录服务是帮助用户快速准确的从目录中查找到他所需要的信息的服务。
AD 使用 LDAP 作为其主要的访问协议,由组织单元(OU)、域(domain)、域树(tree)、域森林(forest)构成的层次结构,使用了一种结构化的数据存储方式,在一个 AD 中可以根据需要建立多个域;AD 这种层次结构使企业网络具有极强的扩展性,便于组织、管理以及目录定位。
如果内网的某台服务器安装了AD,那么它就变成了DC
组织单元(OU):是 AD 中把对象组织成逻辑管理组的容器,其中包括一个或多个对象,如用户账号、组、计算机、打印机、应用、文件共享或其他OU等。通常,OU 的设计基于组织的部门、地理位置或其他业务需求,以便管理员可以轻松地分配策略、权限和其他设置。(具体见下方截图)
主要功能
- 帐号集中管理:所有帐号均存在服务器上,方便对帐号的重命名/重置密码。
- 软件集中管理:统一推送软件,统一安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择安装软件。
- 环境集中管理:利用AD可以统一客户端桌面,IE,TCP/IP等设置。
- 增强安全性:统一部署杀毒软件和扫描病毒任务,集中化管理用户的计算机权限、统一制订用户密码策略等,可监控网络,资料统一管理。
- 更可靠,更少的宕机时间。如:利用AD控制用户访问权限,利用群集、负载均衡等技术对文件服务器进行容灾设定,更可靠,宕机时间更少。
- 活动目录为Microsoft统一管理的基础平台,其它isa,exchange,sms等服务都依赖于这个基础平台。
默认容器
AD创建后默认存在如下容器:
- Builtin(内置):该容器包含了一些内置的安全组,这些安全组是系统默认创建的,用于授予特定的权限和访问级别。例如,Administrators组、Backup Operators组等都属于Builtin容器。这些组通常具有在整个域中范围的权限。
- Computers(计算机):这是存储计算机对象的容器。在AD中,每台连接到网络的计算机都是一个对象,该对象包含有关计算机的信息,如计算机名称、IP地址、操作系统版本等。将计算机对象放置在 "Computers" 容器中可以帮助组织管理员有效地管理和控制网络中的计算机。通过组策略等方式,管理员可以对 "Computers" 容器中的计算机应用特定的安全策略、软件设置等。
- Domain Controllers(域控制器):该容器存储域中的域控制器对象。域控制器是负责验证用户登录、管理域内对象以及维护域数据库的服务器。
- ForeignSecurityPrincipals(外部安全主体):该容器用于存储来自其他域或林的安全主体的安全标识。这些安全主体包括用户、组和计算机等。当跨域或跨林资源与本地域中的对象进行交互时,将使用ForeignSecurityPrincipals容器中的相应安全标识来表示这些对象。
- Managed Service Accounts(托管服务帐户):这是一种特殊类型的帐户,用于运行服务应用程序或服务的标识。它们专门用于管理服务的凭据,提供了更高的安全性和便利性,因为它们由AD管理和更新其凭据。
- Users(用户):这是存储用户对象的容器。在AD中,每个用户都是一个对象,该对象包含有关用户的信息,如用户名、密码、电子邮件地址等。将用户对象放置在 "Users" 容器中可以帮助组织管理员有效地管理和控制用户的访问权限、组成员资格等。管理员可以通过组策略、共享文件夹权限等方式来管理 "Users" 容器中的用户对象。
存储方式
ntds.dit
是AD中的数据库文件,它被保存在域控制器c:\windows\system32\ntds\NTDS.DIT
位置。活动目录的数据库文件(ntds.dit)包含有关活动目录域中所有对象的所有信息,其中包含所有域用户和计算机帐户的密码哈希值。该文件在所有域控制器之间自动同步,它只能被域管理员访问和修改。
域内账户
- 域管(域管理员): 域管理员是具有高级权限的用户,可以登录到域控制器并对域内的资源和权限进行管理。他们拥有对域中所有用户、计算机和其他对象的管理权限,可以创建、修改和删除对象,并管理域范围内的安全策略
- 普通域用户: 普通域用户是域中的标准用户,只能登录到域,并根据其分配的权限访问网络资源。他们通常没有域管理权限,无法对域内资源进行更改或管理
域内权限
组
组(Group)是用户帐号的集合。通过向一组用户分配权限从而不必向每个用户分配权限,管理员在日常工作中不必要去为单个用户帐号设置自己独特的访问权限,而是将用户帐号加入到相对应的安全组中。
- 全局组(Global Group)权限,可以从本域中添加用户账号,权限可以访问整个域林的资源。
- 通用组(Universal Group)权限,类似于全局组,可从整个域林添加成员,权限可访问整个域林的资源。
- 域本地组(Domain Local Group)权限,可以从域林中添加用户账号,权限只限于本域资源的访问,不能嵌套于其他组中。
域本地组中的权限:
Administrators(管理员组)- 最重要的权限
Remote Desktop Users(远程登录组)
Print Operators(打印机操作员组)
Account Operators(帐号操作员组)
Server Operaters(服务器操作员组)
Backup Operators(备份操作员组)
全局组、通用组的一些权限:
Domain Admins(域管理员组)— 最重要的权限,一般来说域渗透是看重这个
Enterprise Admins(企业系统管理员组)— 最重要的权限,其次是去看重这个权限
Schema Admins(架构管理员组)— 最重要的权限
Domain Users(域用户组)
A-G-DL-P策略
A-G-DL-P策略是一种授权策略,用于管理域内用户对资源的访问权限。其含义为:
- A 表示用户账号(Account)。
- G 表示全局组(Global Group)。
- DL 表示域本地组(Domain Local Group)。
- P 表示资源权限(Permissions)。
根据A-G-DL-P策略,首先将用户账号添加到全局组中,然后将全局组添加到域本地组中,最后为域本地组分配资源权限
在A-G-DL-P形成以后,当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了。
域分类
单域(Single Domain)
指一个完整的域环境中只包含一个域。这意味着所有的网络资源和用户都在同一个域中管理和操作
父子域(Parent and Child Domains)
父子域是指在域环境中建立的层次结构关系,其中一个域被称为父域,而其他域则称为子域。父域和子域会自动创建双向信任关系,并且信任关系可传递。父域可以包含很多子域,子域是相对父域来说的,指域名中的每一个段,如 gm7.org
就是 a.gm7.org
的父域
域树(Domain Tree)
域树是由多个域通过信任关系连接而成的层次结构,形成了一个域树的集合。在域树中,每个域都有其父域,而最顶层的域被称为根域。在一个域树中,子域只能使用父域作为域名的后缀,域的名字是连续的如 gm7.org
-> a.gm7.org
-> b.a.gm7.org
。
域森林(Domain Forest)
域林是指多个域树通过建立信任关系形成的集合。每个域树都可以具有独立的命名空间,安全策略和用户帐户。域森林允许在不同域树之间共享资源和用户,同时保持一定的隔离性
GC
GC(Global Catalog):提供全局查询服务
在域林中,同一域林中的域控制器共享同一个活动目录,这个活动目录是分散存放在各个域的域控制器中的,每个域中的域控制器保存着该域的对象的信息 (用户账号及目录数据库等)。如果一个域中的用户要访问另一个域中的资源,则要先找到另一个域中的资源。为了让用户快速的查找到另一个域内的对象,微软设计了全局编录。全局编录包含了各个活动目录中每一个对象的最重要的属性 (即部分属性),这样,即使用户或应用程序不知道对象位于哪个域,也可以迅速找到被访问的对象。
- 全局编录是在Active Directory中用于快速搜索和查找对象的索引数据库。
- GC包含了所有域中的部分信息,允许跨域搜索,提高了查询性能。
- 每个域至少应该有一个GC服务器,以支持全局查询需求。
FSMO
FSMO(Flexible Single Master Operation):负责执行域和林的关键任务
灵活单主机操作角色是在AD中用于执行特定任务的角色
- 5个FSMO角色包括架构主机、域命名主机、PDC模拟器、RID主机和基础结构主机。
- FSMO角色只能在域中的一个域控制器上存在,但可以在需要时转移给其他域控制器。
延伸阅读:
域信任关系
域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,可以从一个受信任域登录到域,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。
单向和双向信任
- 单向信任 : 域 A 中的用户可以访问域 B 中的资源。 但是,域 B 中的用户无法访问域 A 中的资源。
- 双向信任 : 域 A 信任域 B,域 B 也信任域 A,可以互相访问域内的资源。
可传递和不可传递信任
传递性决定可否将信任扩展到构成该信任的两个域之外。
- 可以使用可传递信任扩展与其他域的信任关系。
- 可以使用不可传递信任拒绝与其他域的信任关系。
下图显示,默认情况下,树 1 和树 2 中的所有域之间具有可传递的信任关系。 因此,在资源处分配适当的权限时,树 1 中的用户可以访问树 2 所含域中的资源,且树 1 中的用户可以访问树 2 中的资源 。
信任类型
- 父子信任:父域与子域之间自动建立起了双向信任关系,并且信任关系可以传递。(最常遇到的)
- 树信任:同一个林中,林根域与其他树根域自动建立双向信任关系。信任关系可传递。
- 快捷方式信任:为了加速认证流程而产生的信任关系。需要管理员手工建立,信任关系可向下传递。
- 林信任:在不更改 AD 结构的情况下,让不同林之间可以相互访问资源。信任关系可向下传递。
- 外部信任/ 跨林快捷方式信任:类似于同林内的快捷方式信任. 单向, 信任关系不可传递:
- 领域信任:为了让 AD 跟非 windows 系统的 kerberos 建立关系而存在的信任。
延伸阅读:
域环境搭建
使用win2012 R2
、win2008 R2
搭建域渗透环境,其中win2012 R2
作为域控制器。然后将win2008 R2
加入域。
win2012 R2 域控
配置IPv4
静态配置其IP地址和默认网关,以及DNS服务器等
我们可以先ipconfig查看当前地址和默认网关等,然后配置成其静态IP等。
控制面板 --> 网络和共享中心 --> 更改适配器设置 --> 网卡 --> IPv4 --> 修改内容
更改服务器的计算机名
使用本地管理员账号登录,将计算机的名改成DC(这个名字可以随意)。
我的电脑 --> 属性 --> 高级系统设置 --> 计算机名 --> 更改
记得重启服务器,这样更改的名字才会生效
安装域控制器和DNS服务器
单击添加角色和功能
,进入添加角色和功能向导。
在开始之前
部分保持默认设置
在服务器角色窗口选择Active Directory域服务
和DNS服务器
一路默认设置到确认页面, 勾选自动重新启动服务器,然后安装。
升级服务器
安装完毕后。点击将此服务器提升为域控制器
在Active Directory域服务配置向导
界面,在部署配置
部分单击选中”添加新林”,然后输入根域名 org.test
(必须使用符合DNS命名约定的根域名)。
在域控制器选项
部分,将林功能级别,域功能级别都设置成”Windows Server 2012 R2”。创建域林时,在默认情况下应选择DNS服务器,林中的第一个域控制器必须是全局目录服务器且不能是只读域控制器(RODC)。然后,设置目录服务还原模式的密码(在开机进入安全模式修复活动目录数据库时使用此密码)
然后到DNS选项
,会出现关于DNS
的警告。不用理会警告,保持默认设置。
然后一路都是默认配置
安装完成后重启
创建Active Directory 用户
为域内其他机器创建域用户。
在”Active Directory”用户和计算机界面中选择”Users”目录并单击右键,使用弹出的快捷菜单添加用户。
创建testuser账户
查看testuser账户
win2008 R2 域内机器
配置IP
测试一下连通性,ping一下刚才设置的域 org.test
加入域
输入域的名称,点击”确定”,随后会让输入设置的用户名和密码
重启计算机,登陆(刚才设置的testuser)
输入net view /domain:org
查看域中的计算机列表
Win10查看不了工作组状态提示“发生系统错误6118”怎么办?
- 关闭防火墙
- 手动启动 Computer Browser