域环境介绍
基本概念
域
域(Domain)是一个有安全边界的计算机集合。
安全边界指在两个工作域中,一个域中的用户无法访问另一个域中的资源。
与工作组的 “松散会员制” 有所不同,“域” 是一个相对严格的组织。
用户想要访问域内资源,必须以合法身份登录域,用户对域内资源有什么样的权限取决于用户在域内的身份。
域控制器(Domain Controller,DC)是域中一台类似管理服务器的计算机,负责验证所有连入的计算机和用户。
在域内访问其他机器,不需要被访问机器的许可,但是要经过域控制器的审核。
域控制器(DC)中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
当计算机连接到域时,DC首先会鉴别这个计算机是否属于本域,并验证账户和密码。
1)单域
通常在小规模的公司中,建立一个域即可满足需求。
在一个域内,一般至少要两台域服务器,一台作为DC,另一台作为备份DC。
活动目录的数据库(包含用户账号信息)是存储在DC中的,如果DC瘫痪了,可用备份DC恢复域的正常使用。
2)父域和子域
如果一个网络中划分多个域,第一个称为父域,其余的为子域。
例如一个大公司的各个分公司位于不同的地点,这时就要使用父子域。
父域和子域之间的信任关系是自动建立的,由 Kerberos security protocol完成。
子域的管理是独立的,比如子域有自己的安全策略(账号密码等策略),就不能用父域的账号登录子域。
3)域树
域树(Tree)是多个域通过建立信任关系组成的集合。
一个域管理员只能管理本域,不能访问或管理其它域。两个域之间要互相访问,需要建立信任关系。
域树符合DNS域名空间的命名原则,而且是具有连续性,也就是子域的域名包含其父域的域名。
4)域森林
域森林(Forest)是指多个域树通过建立信任关系组成的集合。
比如某公司使用域树abc.com,被兼并公司使用abc.net,abc.net无法挂在abc.com下;
所以域树abc.com和域树abc.net需要通过建立信任关系来组成域森林。
5)域名服务器
域名服务器(Domian Name Server,DNS)是用于实现域名和与之相对的IP转换的服务器。
在域中的计算机是使用DNS来定位域控制器、服务器、以及其它计算机、网络服务的,所以域的名字就是DNS域的名字;
在内网渗透中,大都通过寻找DNS服务器来确定域控制器位置(它们通常配置在同一台机器上)。
活动目录
活动目录(Active Directory,AD)是指域环境中提供目录服务的组件(win server 03之后内置)。
目录用于存储有关网络对象(用户、组、计算机、共享资源等)的信息。
目录服务帮助用户快捷、准确地从目录中找到其所需的信息服务,活动目录为企业提供了网络环境的集中式管理机制。
安装的AD的计算机即为DC,在活动目录中创建A账户一次,就能在所有域内计算机上登录。
安全域的划分
划分安全域的目的是将一组安全等级相同的计算机划入同一网段。
一个典型中小型内网安全域的划分,一般分为DMZ和内网,通过硬件防火墙的不同端口实现隔离。
在一个用路由器连接的内网中,可以将网络划分为三个区域:
网络区域划分
1)安全级别最高的内网
2)安全级别中等的DMZ
3)安全级别最低的外网
DMZ 称为隔离区,是一个非安全系统与安全系统之间的缓冲区,位于企业内部网络和外部网络之间。
DMZ 对外提供服务,可从外部访问,放置一些必须公开的设备(Web服务器,Email服务器等)。
DMZ不能访问内网,内网能访问DMZ。
域内权限
1)域本地组
多域用户访问单域资源,可以从任何域添加账号、全局组和通用组,但只能在其所在域内指派权限。
域本地组不能嵌套在其它组中,主要用于授权本域内资源访问权限。
2)全局组
单域用户访问多域资源,只能在创建该全局组的域中添加用户和全局组。
可以在域森林的任何域内指派权限,全局组可以嵌套在其它组中。
例如,将用户李白(域账号为LB)添加到域本地组Administrators中,并不能使LB对非DC的域成员计算机有特权。
但是将LB添加到全局组 Domain Admins 中,用户李白就成为了域管理员(可全局使用,对域成员计算机有特权)。
3)通用组
通用组的成员来自域森林中的任何域的用户账号、全局组和其它通用组。
可以嵌套在其它组中,可在该域森林的任何域中指派权限,适合在域森林中跨域使用。
通用组的成员保存在全局编录(GC)中,全局编录用于存储一些不经常发生变化的信息。
因此建议把经常变化的用户账号先添加到全局组,再把这些相对稳定的全局组添加到通用组
提示
域本地组来自全林,作用于本域
全局组来自本域,作用于全林
通用组来自全林,作用于全林
4)A-G-DL-P策略
A-G-DL-P策略指,将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
A 表示用户账号(Account)
G 表示全局组(Global Group)
U 表示通用组(Universal Group)
DL 表示域本地组(Domain Local Group)
P 表示资源权限(Permission)
A-G-DL-P策略形成后,需要给一个用户添加权限时,只要把这个用户添加到某个域本地组就可以了。
域环境搭建
| 主机名 | 操作系统 | IP地址 | 角色 |
|---|---|---|---|
| DC01 | Windows Server 2012 r2 | 192.168.1.199 | 域控制器 |
| Web | Windows Server 2008 r2 | 192.168.1.245 | 域内主机 |
1)更改计算机名称
把两台电脑主机名改一下(打开计算机属性处更改)
分别改为DC01、Web
2)安装域控服务
在 DC01 这台机器上打开服务器管理-添加角色和服务
3)升级为域控制器
先点击提升为域控制器
然后添加新林并设置一个根域名
点击下一步,为DSRM设置个密码(pwd@admin.123)
然后一路下一步就行
安装完重启后AD服务和DNS就都安装成功了。
DNS用来把域名解析为IP,域内主机都要把DNS服务器设置为域控的IP。
#在终端输入命令设置域管理的密码永远不要过期
net accounts /maxpwage:unlimited
4)创建域用户
打开域用户和计算机
在根域下新建用户组
接着新建用户,下一步设置密码(datang@admin.1)
然后把这个用户添加到刚建的CNSEC用户组,并设置为主要组
5)把Web主机加入域内
把主机的DNS服务器地址改为域控的IP
更改主机名处隶属于根域
net config workstation
#查看当前域信息
6)域内主机用域用户登录
想要在域内主机Web这台机器上登录,需要先在Web上把域用户或者组加入到远程用户组中。
