域內(nèi)權(quán)限解讀

目錄

域本地組

全局組

通用組

A-G-DL-P策略

內(nèi)置組

幾個(gè)比較重要的域本地組

幾個(gè)比較重要的全局組、通用組的權(quán)限

域本地組

多域用戶訪問(wèn)單域資源(訪問(wèn)同一個(gè)域)

可以從任何域添加用戶賬戶、通用組和全局組，但只能在其所在域內(nèi)指派權(quán)限。域本地組不能嵌套于其他組中。它主要是用于授予位于本域資源的訪問(wèn)權(quán)限。

全局組

單域用戶訪問(wèn)多域資源(必須是一個(gè)域里面的用戶)

只能在創(chuàng)建該全局組的域中添加用戶和全局組。可以在域森林的任何域內(nèi)指派權(quán)限。全局組可以嵌套在其他組中。

可以將某個(gè)全局組添加到同一個(gè)域的另一個(gè)全局組中，或者添加到其他域的通用組和域本地組中(不能添加到不同域的全局組中，全局組只能在創(chuàng)建它的域中添加用戶和組)。雖然可以通過(guò)全局組授予用戶訪問(wèn)任何域內(nèi)資源的權(quán)限，但一般不直接用它來(lái)進(jìn)行權(quán)限管理。

全局組和域本地組的關(guān)系，與域用戶賬號(hào)和本地賬號(hào)的關(guān)系類似。域用戶賬號(hào)可以在全局使用，即在本域和其他關(guān)系的其他域中都可以使用，而本地賬號(hào)只能在本機(jī)中使用。例如：將用戶張三(Z3)添加到域本地組 Administrators 中，并不能使Z3對(duì)非DC的域成員計(jì)算機(jī)擁有任何特權(quán)。但若將Z3添加到全局組Domain Admins中，用戶張三就成為了域管理員了(可以在全局使用，對(duì)域成員計(jì)算機(jī)擁有特權(quán))。

通用組

多域用戶訪問(wèn)多域資源

通用組的成員可包括域樹或域林中任何域的用戶賬號(hào)、全局組和其他通用組，可以在該域森林的任何域中指派權(quán)限，可以嵌套在其他組中，非常適合在域森林內(nèi)的跨域訪問(wèn)中使用。不過(guò)，通用組的成員不是保存在各自的域控制器中，而是保存在全局編錄(GC)中年的，任何變化都會(huì)導(dǎo)致全林復(fù)制。

全局編錄通常用于存儲(chǔ)一些不經(jīng)常發(fā)生變化的信息。由于用戶賬號(hào)信息是經(jīng)常變化的，建議不要直接將用戶賬號(hào)添加到通用組中，而要先將用戶賬號(hào)添加到全局組中，再把這些相對(duì)穩(wěn)定的全局組添加到通用組中。

簡(jiǎn)單一句話概括：

• 域本地組：來(lái)自全林，作用于本域

• 全局組：來(lái)自本域，作用于全林

• 通用組：來(lái)自全林，作用于全林

A-G-DL-P策略

A-G-DL-P策略是指將用戶賬號(hào)添加到全局組中，將全局組添加到域本地組中，然后為域本地組分配資源權(quán)限。

• A 表示用戶賬號(hào)(Account)

• G 表示全局組(Global Group)

• U 表示通用組(Universal Group)

• DL 表示域本地組(Domain Local Group)

• P 表示資源權(quán)限(Permission)

按照A-G-DL-P策略對(duì)用戶進(jìn)行組織和管理是非常容易的。在A-G-DL-P策略形成以后，當(dāng)需要給一個(gè)用戶添加某個(gè)權(quán)限時(shí)，只要把這個(gè)用戶添加到某個(gè)域本地組中就行了。

內(nèi)置組

在安裝域控制器時(shí)，系統(tǒng)會(huì)自動(dòng)生成一些組，稱為內(nèi)置組。內(nèi)置組定義了一些常用的權(quán)限。通過(guò)將用戶添加到內(nèi)置組中可以使用戶獲得相應(yīng)的權(quán)限。

活動(dòng)目錄控制臺(tái)窗口的 Builtin 和 Users 組織單元中的組就是內(nèi)置組。

• 內(nèi)置的域本地組在 Builtin 組織單元中。

• 內(nèi)置的全局組合通用組在 Users 組織單元中。?

幾個(gè)比較重要的域本地組

• 管理員組(Administrators)：該組的成員可以不受限制地存取計(jì)算機(jī)/域內(nèi)的資源。它不僅是最具權(quán)利的一個(gè)組，也是在活動(dòng)目錄和域控制器中默認(rèn)具有管理員權(quán)限的組。該組的成員可以更改 Enterprise Admins、Schema Admins 和 Domain Admins 組的成員關(guān)系，是域森林中年強(qiáng)大的服務(wù)管理組。

• 遠(yuǎn)程登錄組(Remote Desktop Users)：該組的成員具有遠(yuǎn)程登錄權(quán)限。

• 打印機(jī)操作員組(Print Operators)：該組的成員可以管理網(wǎng)絡(luò)打印機(jī)，包括建立，管理及刪除網(wǎng)絡(luò)打印機(jī)，并可以在本地登錄和關(guān)閉域控制器。

• 賬號(hào)操作員組(Account Operators)：該組的成員可以創(chuàng)建和管理該域中的用戶和組并為其設(shè)置權(quán)限，也可以在本地登錄域控制器。但是，不能更改屬于Administrators或Domain Admins組的賬號(hào)，也不能更改這些組。在默認(rèn)情況下，該組中沒有成員。

• 服務(wù)器操作員組(Server Operators)：該組的成員可以管理域服務(wù)器，其權(quán)限包括建立、管理、刪除任意服務(wù)器的共享目錄、管理網(wǎng)絡(luò)打印機(jī)、備份任何服務(wù)器的文件、格式化服務(wù)器硬盤、鎖定服務(wù)器、變更服務(wù)器的系統(tǒng)時(shí)間、關(guān)閉域控制器等。在默認(rèn)情況下，該組中沒有成員。

• 備份操作員組(Backup Operators)：該組的成員可以在域控制器中執(zhí)行備份和還原操作，并可以在本地登錄和關(guān)閉域控制器。在默認(rèn)情況下，該組中沒有成員。

幾個(gè)比較重要的全局組、通用組的權(quán)限

• 域管理員組(Domain Admins)：該組的成員在所有加入域的服務(wù)器、域控制器和活動(dòng)目錄中均默認(rèn)擁有完整的管理員權(quán)限。因?yàn)樵摻M會(huì)被添加到自己所在域的Administrators組中，因?yàn)榭梢岳^承Administrators組的所有權(quán)限。同時(shí)，該組默認(rèn)會(huì)被添加到每臺(tái)域成員計(jì)算機(jī)的本地Administrators組中。這樣，Domain Admins組就獲得了域中所有計(jì)算機(jī)的所有權(quán)。如果希望某用戶成為域系統(tǒng)管理員，建議將該用戶添加到Domain Admins組中，而不要直接將該用戶添加到Administrators組中。

• 企業(yè)系統(tǒng)管理員組(Enterprise Admins)：該組是域森林根域中的一個(gè)組。該組在域森林中的每個(gè)域內(nèi)都是Administrators組的成員，因此對(duì)所有域控制器都有完全訪問(wèn)權(quán)。

• 域用戶組(Domain Users)：該組是所有的域成員，在默認(rèn)情況下，任何由我們建立的用戶賬號(hào)都屬于Domain Users組，而任何由我們建立的計(jì)算機(jī)賬號(hào)都屬于Domain Computers組。因此，如果想讓所有的賬號(hào)都獲得某種資源存取權(quán)限，可以將該權(quán)限指定給域用戶組，或者讓域用戶組屬于具有該權(quán)限的組。域用戶組默認(rèn)是內(nèi)置域Users組的成員。

• 架構(gòu)管理員組(Schema Admins)：該組是域森林根域中的一個(gè)組，可以修改活動(dòng)目錄和域森林的模式。該組是為活動(dòng)目錄和域控制器提供完整權(quán)限的域用戶組，因此，該組成員的資格是非常重要的。

責(zé)編：vivian

來(lái)源：謝公子博客

掃碼關(guān)注我們吧！如果文中有錯(cuò)誤的地方，歡迎指出。有想轉(zhuǎn)載的，可以留言我加白名單。
最后，歡迎加入謝公子的小黑屋(安全交流群)(QQ群：783820465)

總結(jié)

以上是生活随笔為你收集整理的sqlserver2000给账户授予所有的权限_内网渗透 | 域内权限解读的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。