Windows域环境与安全系列:基础概念

@xuing  July 7, 2021

Windows域环境与安全系列一:基础概念

什么是域

​ 为了更好的理解Windows域的概念,我们需要思考为什么会出现域,域解决了什么痛点。

工作组

​ 如果是大型企业或学校计算机,基本上都加入了Windows域,而一般的个人对Windows域可能很陌生,但都属于默认工作组WORKGROUP,你大概率是见过的,并可能好奇过它的作用。

我的电脑右键系统属性就可以看到。

image-20210603174349861

​ 工作组没有服务器和客户端,因此代表点对点(或客户端到客户端)网络范式,而不是由服务器-客户端构成的集中式架构。超过十几个客户端的工作组被认为难以管理,并且缺乏单点登录、可扩展性、弹性/灾难恢复功能和许多安全功能。Windows 工作组更适合小型或家庭办公网络。

域(Domain)是一个有安全边界的计算机集合(安全边界意思是在两个域中,一个域中的用户无法访问另一个域中的资源),可以简单的把域理解成升级版的“工作组”,相比工作组而言,它有一个更加严格的安全管理控制机制,如果你想访问域内的资源,必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。

​ 域内主机各种策略由域控制器统一设定,域中所有主机共享一个集中式的目录数据库,包含着整个域内的对象。

域控制器

域控制器(Domain Controller,DC)是域中的一台类似管理服务器的计算机,负责所有连入的计算机和用户的验证工作。域内的计算机如果想互相访问,都要经过域控制器的审核。域控制器中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库,所有的权限身份验证都在域控制器上进行。

​ 域是逻辑组织形式,它能够对网络中的资源进行统一管理,就像工作组环境对网络进行分散管理一样,要想实现域,必须在一台计算机上安装活动目录才能实现,而安装了活动目录的计算机就称为域控制器(DC)。

活动目录

​ 活动目录(Active Directory)是域环境中提供目录服务的组件。

​ 目录用于存储有关网络对象的信息。活动目录存储的是网络中所有资源的快捷方式,用户可以通过寻找快捷方式来定位资源。

域内权限控制

安全组

​ 安全组是权限的集合。举个例子,运维需要对公司的网络进行管理,需要一些特殊的管理权限,我们就可以设置个组,对组配置权限。然后将运维拉近组里面,组里面的运维就拥有了该权限。安全组可以根据作用范围划分为。

  • 全局组 (Global group)
  • 通用组(Universal group)
  • 域本地组(Domain Local group)

常见组介绍

  • Administrators

    域本地组。具备系统管理员的权限,拥有对整个域最大的控制权,可以执行整个域的管理任务。Administrators包括Domain Admins和Enterprise Admins。

  • Domain Admins

    全局组。我们常说的域管组。默认情况下,域内所有机器会把Domain Admins加入到本地管理员组里面。

  • Enterprise Admins

    通用组。在林中,只有林根域才有这个组,林中其他域没有这个组,但是其他域默认会把这个组加入到本域的Administrators里面去。

  • Domain Users

    全局组。包括域中所有用户帐户,在域中创建用户帐户后,该帐户将自动添加到该组中。默认情况下,域内所有机器会把Domain Users加入到本地用户

A-G-DL-P策略

​ 安全组是权限的集合,所以在微软的建议中,并不建议给赋予单个用户权限,而是赋予一个组权限,然后将成员拉近组。下面介绍下AGDLP策略。

img

有常见的几种权限划分方式

  • AGP,将用户账户添加到全局组,然后赋予全局组权限
  • AGLP,将用户账户添加到全局组,将全局组添加到本地组, 然后赋予本地组权限
  • ADLP 将用户账户添加到域本地组,然后赋予域本地组权限
  • AGDLP,将用户账户添加到全局组,将全局组添加到域本地组, 然后赋予域本地组权限
  • AGUDLP,将用户账户添加到全局组,将全局组添加到通用组,将通用组添加到域本地组, 然后赋予域本地组权限

image-20210604113406062

Reference

《内网安全攻防:渗透测试实战指南》

Windows内网协议学习LDAP篇之组和OU介绍

网络基本架构的实现和管理


添加新评论