sqlserver2000给账户授予所有的权限_内网渗透 | 域内权限解读
目錄
域本地組
全局組
通用組
A-G-DL-P策略
內(nèi)置組
幾個(gè)比較重要的域本地組
幾個(gè)比較重要的全局組、通用組的權(quán)限
域本地組
多域用戶訪問單域資源(訪問同一個(gè)域)
可以從任何域添加用戶賬戶、通用組和全局組,但只能在其所在域內(nèi)指派權(quán)限。域本地組不能嵌套于其他組中。它主要是用于授予位于本域資源的訪問權(quán)限。
全局組
單域用戶訪問多域資源(必須是一個(gè)域里面的用戶)
只能在創(chuàng)建該全局組的域中添加用戶和全局組。可以在域森林的任何域內(nèi)指派權(quán)限。全局組可以嵌套在其他組中。
可以將某個(gè)全局組添加到同一個(gè)域的另一個(gè)全局組中,或者添加到其他域的通用組和域本地組中(不能添加到不同域的全局組中,全局組只能在創(chuàng)建它的域中添加用戶和組)。雖然可以通過(guò)全局組授予用戶訪問任何域內(nèi)資源的權(quán)限,但一般不直接用它來(lái)進(jìn)行權(quán)限管理。
全局組和域本地組的關(guān)系,與域用戶賬號(hào)和本地賬號(hào)的關(guān)系類似。域用戶賬號(hào)可以在全局使用,即在本域和其他關(guān)系的其他域中都可以使用,而本地賬號(hào)只能在本機(jī)中使用。例如:將用戶張三(Z3)添加到域本地組 Administrators 中,并不能使Z3對(duì)非DC的域成員計(jì)算機(jī)擁有任何特權(quán)。但若將Z3添加到全局組Domain Admins中,用戶張三就成為了域管理員了(可以在全局使用,對(duì)域成員計(jì)算機(jī)擁有特權(quán))。
通用組
多域用戶訪問多域資源
通用組的成員可包括域樹或域林中任何域的用戶賬號(hào)、全局組和其他通用組,可以在該域森林的任何域中指派權(quán)限,可以嵌套在其他組中,非常適合在域森林內(nèi)的跨域訪問中使用。不過(guò),通用組的成員不是保存在各自的域控制器中,而是保存在全局編錄(GC)中年的,任何變化都會(huì)導(dǎo)致全林復(fù)制。
全局編錄通常用于存儲(chǔ)一些不經(jīng)常發(fā)生變化的信息。由于用戶賬號(hào)信息是經(jīng)常變化的,建議不要直接將用戶賬號(hào)添加到通用組中,而要先將用戶賬號(hào)添加到全局組中,再把這些相對(duì)穩(wěn)定的全局組添加到通用組中。
簡(jiǎn)單一句話概括:
域本地組:來(lái)自全林,作用于本域
全局組:來(lái)自本域,作用于全林
通用組:來(lái)自全林,作用于全林
A-G-DL-P策略
A-G-DL-P策略是指將用戶賬號(hào)添加到全局組中,將全局組添加到域本地組中,然后為域本地組分配資源權(quán)限。
A 表示用戶賬號(hào)(Account)
G 表示全局組(Global Group)
U 表示通用組(Universal Group)
DL 表示域本地組(Domain Local Group)
P 表示資源權(quán)限(Permission)
按照A-G-DL-P策略對(duì)用戶進(jìn)行組織和管理是非常容易的。在A-G-DL-P策略形成以后,當(dāng)需要給一個(gè)用戶添加某個(gè)權(quán)限時(shí),只要把這個(gè)用戶添加到某個(gè)域本地組中就行了。
內(nèi)置組
在安裝域控制器時(shí),系統(tǒng)會(huì)自動(dòng)生成一些組,稱為內(nèi)置組。內(nèi)置組定義了一些常用的權(quán)限。通過(guò)將用戶添加到內(nèi)置組中可以使用戶獲得相應(yīng)的權(quán)限。
活動(dòng)目錄控制臺(tái)窗口的 Builtin 和 Users 組織單元中的組就是內(nèi)置組。
內(nèi)置的域本地組在 Builtin 組織單元中。
內(nèi)置的全局組合通用組在 Users 組織單元中。?
幾個(gè)比較重要的域本地組
管理員組(Administrators):該組的成員可以不受限制地存取計(jì)算機(jī)/域內(nèi)的資源。它不僅是最具權(quán)利的一個(gè)組,也是在活動(dòng)目錄和域控制器中默認(rèn)具有管理員權(quán)限的組。該組的成員可以更改 Enterprise Admins、Schema Admins 和 Domain Admins 組的成員關(guān)系,是域森林中年強(qiáng)大的服務(wù)管理組。
遠(yuǎn)程登錄組(Remote Desktop Users):該組的成員具有遠(yuǎn)程登錄權(quán)限。
打印機(jī)操作員組(Print Operators):該組的成員可以管理網(wǎng)絡(luò)打印機(jī),包括建立,管理及刪除網(wǎng)絡(luò)打印機(jī),并可以在本地登錄和關(guān)閉域控制器。
賬號(hào)操作員組(Account Operators):該組的成員可以創(chuàng)建和管理該域中的用戶和組并為其設(shè)置權(quán)限,也可以在本地登錄域控制器。但是,不能更改屬于Administrators或Domain Admins組的賬號(hào),也不能更改這些組。在默認(rèn)情況下,該組中沒有成員。
服務(wù)器操作員組(Server Operators):該組的成員可以管理域服務(wù)器,其權(quán)限包括建立、管理、刪除任意服務(wù)器的共享目錄、管理網(wǎng)絡(luò)打印機(jī)、備份任何服務(wù)器的文件、格式化服務(wù)器硬盤、鎖定服務(wù)器、變更服務(wù)器的系統(tǒng)時(shí)間、關(guān)閉域控制器等。在默認(rèn)情況下,該組中沒有成員。
備份操作員組(Backup Operators):該組的成員可以在域控制器中執(zhí)行備份和還原操作,并可以在本地登錄和關(guān)閉域控制器。在默認(rèn)情況下,該組中沒有成員。
幾個(gè)比較重要的全局組、通用組的權(quán)限
域管理員組(Domain Admins):該組的成員在所有加入域的服務(wù)器、域控制器和活動(dòng)目錄中均默認(rèn)擁有完整的管理員權(quán)限。因?yàn)樵摻M會(huì)被添加到自己所在域的Administrators組中,因?yàn)榭梢岳^承Administrators組的所有權(quán)限。同時(shí),該組默認(rèn)會(huì)被添加到每臺(tái)域成員計(jì)算機(jī)的本地Administrators組中。這樣,Domain Admins組就獲得了域中所有計(jì)算機(jī)的所有權(quán)。如果希望某用戶成為域系統(tǒng)管理員,建議將該用戶添加到Domain Admins組中,而不要直接將該用戶添加到Administrators組中。
企業(yè)系統(tǒng)管理員組(Enterprise Admins):該組是域森林根域中的一個(gè)組。該組在域森林中的每個(gè)域內(nèi)都是Administrators組的成員,因此對(duì)所有域控制器都有完全訪問權(quán)。
域用戶組(Domain Users):該組是所有的域成員,在默認(rèn)情況下,任何由我們建立的用戶賬號(hào)都屬于Domain Users組,而任何由我們建立的計(jì)算機(jī)賬號(hào)都屬于Domain Computers組。因此,如果想讓所有的賬號(hào)都獲得某種資源存取權(quán)限,可以將該權(quán)限指定給域用戶組,或者讓域用戶組屬于具有該權(quán)限的組。域用戶組默認(rèn)是內(nèi)置域Users組的成員。
架構(gòu)管理員組(Schema Admins):該組是域森林根域中的一個(gè)組,可以修改活動(dòng)目錄和域森林的模式。該組是為活動(dòng)目錄和域控制器提供完整權(quán)限的域用戶組,因此,該組成員的資格是非常重要的。
責(zé)編:vivian
來(lái)源:謝公子博客
掃碼關(guān)注我們吧!如果文中有錯(cuò)誤的地方,歡迎指出。有想轉(zhuǎn)載的,可以留言我加白名單。最后,歡迎加入謝公子的小黑屋(安全交流群)(QQ群:783820465)
總結(jié)
以上是生活随笔為你收集整理的sqlserver2000给账户授予所有的权限_内网渗透 | 域内权限解读的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: matlab将数扩大为整数,MATLAB
- 下一篇: java scipt 对象 函数_jav