内网之windows域相关概念介绍
原地址 https://www.920vip.net/article/36
1 內網滲透基礎
內網/局域網(Local Area Network,LAN),是指在某一區域內有多臺計算機互聯而成的計算機組,組網范圍通常在數千米以內。在局域網中,可以實現文件管理、應用軟件共享、打印機共享、工作組的日程安排、電子郵件和傳真通信服務等。內網是封閉的,可以有辦公室內的兩臺計算機組成,也可以由一個公司內的大量計算機組成。
1.1 內網滲透基礎知識
1.1.1 工作組
為了解決成千上百的電腦連接在一起組成的局域網,管理混亂問題,有了**工作組(Work Group)**概念。
例如:
有技術部和行政部,想要訪問某個部門的資源,只要在網絡點擊工作組名即可。
加入工作組方法:
如果工作組在網絡中不存在,則會新建一個(重啟生效)。如果退出工作組,修改工作組名即可。
完成后,別人可以訪問共享的資源。
工作組沒有集中管理的作用,工作組里的所有計算機都是對等的(沒有服務器和客戶機之分)。
1.1.2 域
應用場景:實現多臺電腦批量更改密碼
**域(Domain)**是一個有安全邊界的計算機集合(安全邊界的意思是,一個域中用戶無法訪問另一個域中的資源),可以看做升級版工作組,必須合法身份登錄才行(還可以對資源加用戶權限)。
**域控制器(Domain Controller,DC)**是域中的一臺類似管理服務器的計算機。域內計算機互相訪問,都要經過域控制器審核。
域控制器中存在有這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數據庫。
域中一般有如下幾個環境:
1. 單域
應用場景:一般用于地理位置固定的小公司
在一個域內至少兩臺服務器,一臺作為DC,另一臺作為備份DC。
活動目的數據庫(包括用戶的賬號信息)是存儲在DC中的,如果沒有備份DC,一但DC癱瘓了,域內其他用戶就不能登錄該域。
2. 父域和子域
第一個域成為父域,各分部的域成為該域的子域。
例如:分公司建立子域內部傳信息
3. 域樹 Tree
域樹是通過建立信任關系組成的集合。
4. 域森林 Forest
域森林(Forest)是指多個域樹通過建立信任關系組成的集合。
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-jiQNlusg-1631246504748)(域森林 Forest.png)]
5 域名服務器
域名服務器(Domain Name Server,DNS)是指用于實現域名(Domain Name)和與之對應的IP地址(IP Address)轉化服務器。
從對域樹的介紹中可以看出,域樹種的域名和DNS域名池昌相似
1.1.3 活動目錄
活動目錄(Active Directory,AD)是指域環境中提供目錄服務的組件。
也就是統一管理
有以下功能:
1、賬號集中管理
2、軟件集中管理
3、環境集中管理
4、增強安全性
5、更可靠
活動目錄是微軟提供的統一管理基礎平臺,ISA、Exchange、SMS等都依賴這個平臺。
1.1.5 安全域的劃分
劃分安全域的目的是將一組安全等級相同的計算機劃入同一個網段。當攻擊時,可以盡可能地將威脅隔離,從而降低對域內計算機的影響。
虛線框表示一個安全域(也是內網絡的邊界,一般分為DMZ和內網),通過硬件防火墻的不同端口實現隔離。
DMZ稱為隔離區,為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題。
可以在DMZ放必須公開的服務器設施:Web服務器、FTP服務器等
1.1.6 域中計算機的分類
1 域控制器
用于管理所有網絡訪問,包括登錄服務器、訪問共享目錄和資源。
存儲域內所有賬戶策略信息,包括安全策略、用戶身份驗證信息 和賬戶信息。
2 成員服務器
指安裝了服務器操作系統并加入了域、但沒有安裝活動目錄的計算機。
主要提供網絡資源。
類型有:
文件服務器、應用服務器、數據庫服務器、Web服務器、郵件服務器、防護墻、遠程訪問服務器、打印服務器
3 客戶機
域中的計算機安裝了其他操作系統的計算機。
可利用域中賬戶登錄域。
4 獨立服務器
和域沒有關系。既不加入域,也不安裝活動目錄。
1.17 域內權限解讀
組(Group)是用戶賬號的集合。通過向一組用戶分配權限,就可以不必向每個用戶分配權限。
1 域本地組
主要用于授予本地域內資源的訪問權限。
2 全局組
單域用戶訪問多域資源(必須是同于個域中的用戶),只能在該全局組的雨中條件用戶和全局組,可以在域森林的任何域內指派權限。全局組可以其那套在其他組中。
3 通用組
通用組成員來自域森林中任何域的用戶賬號、安全組和其他通用組,可以在該域森林的任何域中指派權限,可以嵌套在其他組中,非常適合域森林內的跨域訪問中使用。
其保存在去哪聚編錄(GC)中。
4 A-G-DL-P策略
指將用戶賬號添加到全局組中,將全局組添加到本地組中,然后為本地組分配資源權限。
A:用戶賬號(Account)
G:全局組(Global Group)
U:通用組(Universal Group)
DL:域本地組(Domain Loacal Group)
P:資源權限(Permission,許可)
總結
以上是生活随笔為你收集整理的内网之windows域相关概念介绍的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: windows cmd/dos操作防火墙
- 下一篇: windows搭建内网 域环境 域控制器