0x00
基础知识
1.1 概念
工作组:把一系列计算机列入不同的工作功能,比如技术部的所有计算机,为一个工作组;加入/创建工作组,右键计算机->属性->更改设置->设置,输入的工作组网络中不存在,会新建一个工作组;
域(Domain):一个有安全边界的计算机集合;升级版的工作组;安全边界是指两个域中,一个域中的用户无法访问另一个域中的资源;
域控制器(Domain Controller,DC):域中管理服务器的计算机,负责连入计算机和用户的认证工作。
1.1.2 域中的环境
单域:一般要有至少两台域服务器,一台作为DC,一台作为备份DC;其中活动目录的数据库,包括用户的账号信息是存储在DC中;
父域与子域:管理与其他需求,把网络划分成多个域;第一个域称为父域,各分部的域称为该域子域;
域树:多个域通过建立信任关系组成的集合;就是两个域想要互相访问,就需要建立信任关系;
域森林:域树+域树.......
域名服务器(Domain Name Server,DNS):实现域名和与之相对应的IP地址转换的服务器;DNS服务器和域控制器通常配置在同一台机器上;
活动目录(Active Directory,AD):域环境中提供目录服务的组件;主要提供账号集中管理,软件集中管理,环境集中管理,增强安全性,更可靠,更短的宕机时间等功能;
1.2 安全域划分
目的:将一组安全等级相同的计算机划入同一个网段,网段内的计算机拥有相同的网络边界;并且可以在网络边界上通过部署防火强来实现对其他安全域的网络访问控制策略(NACL)
内网环境:安全级别最高的内网;安全级别中等的DMZ隔离区,位于企业内部网络和外部网络之间;安全级别最低的外网;
1.3 域内权限
组(Group):用户账号的集合;
域本地组:多域用户访问单域资源,可以从任何域添加用户账号,通用组和全局组,但只能在其所在域内指派权限;
全局组:单域用户访问多域资源,只能在创建该全局组的域中添加用户和全局组;
通用组:来自域森林中任何域的用户账号,全局组和其他通用组;
1.3.1 域本地权限
管理员组/远程登录组/打印机操作员组/账号操作员组/服务器操作员组/备份操作员组/域管理员组/企业系统管理员组/架构管理员组/域用户组
