首页 > 其他分享 >Active Directory Basic

Active Directory Basic

时间:2023-04-11 16:11:48浏览次数:46  
标签:域控制器 用户 Directory 管理员 Basic Active 服务

Active Directory 是 Windows 域网络的目录服务

介绍

Active Directory 是在域内部连接的机器和服务器的集合,它们是构成 Active Directory 网络的更大域林的集合部分。Active Directory 包含许多功能部件,

Active Directory 的各个部分

  • 域控制器
  • 森林、树木、领域
  • 用户+组
  • 信托
  • 政策
  • 领域服务

域控制器

域控制器是安装了 Active Directory 域服务 ( AD DS) 并已提升为林中的域控制器的Windows服务器。域控制器是 Active Directory 的中心——它们控制域的其余部分。

域控制器的任务

  • 拥有AD DS 数据存储
  • 处理身份验证和授权服务
  • 从林中的其他域控制器复制更新
  • 允许管理员访问管理域资源

AD DS 数据存储

Active Directory 数据存储包含存储和管理目录信息(例如用户、组和服务)所需的数据库和进程。

AD DS 数据存储的一些内容和特征

  • 包含 NTDS.dit - 一个数据库,其中包含 Active Directory 域控制器的所有信息以及域用户的密码哈希
  • 默认存储在 %SystemRoot%\NTDS
  • 只能由域控制器访问

森林

森林是一切的定义;它是将网络的所有其他部分和部分保存在一起的容器。没有森林,所有其他树木和域都将无法交互。

想到森林时要注意的一件事是不要从字面上去想它——它是一个物理的东西,就像它是一个比喻的东西一样。当我们说“森林”时,它只是一种描述这些树和域之间由网络建立的联系的方式。

森林概况

森林是 Active Directory 网络中一个或多个域树的集合。它将网络的各个部分作为一个整体进行分类。

森林由这些部分组成

  • 树 - Active Directory 域服务中的域层次结构
  • 域 - 用于分组和管理对象
  • 组织单位 (OU) - 组、计算机、用户、打印机和其他 OU 的容器
  • 信任 - 允许用户访问其他域中的资源
  • 对象 - 用户、组、打印机、计算机、共享
  • 域服务 - DNS服务器、LLMNR、IPv6
  • 域架构 - 对象创建规则

用户和组

Active Directory 中的用户和组由您决定;当您创建域控制器时,它带有默认组和两个默认用户:Administrator 和 guest。创建新用户和创建新组以添加用户由您决定。

用户类型

  • 域管理员 - 这是大老板:他们控制着域,并且是唯一有权访问域控制器的人。
  • 服务帐户(可以是域管理员)- 除了服务维护外,这些帐户在大多数情况下从未使用过,Windows 等服务需要它们才能将服务与服务帐户配对
  • 本地管理员——这些用户可以以管理员身份对本地机器进行更改,甚至可以控制其他普通用户,但他们无法访问域控制器
  • 域用户 - 这些是您的日常用户。他们可以登录到他们有权访问的机器上,并且可能拥有机器的本地管理员权限,具体取决于组织。

团体概览

组通过将用户和对象组织到具有指定权限的组中,可以更轻松地向用户和对象授予权限。有两种主要类型的 Active Directory 组

  • 安全组——这些组用于为大量用户指定权限
  • 通讯组 - 这些组用于指定电子邮件通讯组列表。作为攻击者,这些群体对我们的益处不大,但在枚举中仍然有益

默认安全组

  • Domain Controllers - 域中的所有域控制器
  • 域来宾 - 所有域来宾
  • 域用户 - 所有域用户
  • 域计算机 - 加入域的所有工作站和服务器
  • Domain Admins - 域的指定管理员
  • Enterprise Admins - 指定的企业管理员
  • 架构管理员 - 架构的指定管理员
  • DNS管理员 - DNS 管理员组
  • DNS更新代理 - 允许代表某些其他客户端(例如 DHCP 服务器)执行动态更新的 DNS 客户端。
  • 允许的 RODC 密码复制组 - 该组中的成员可以将其密码复制到域中的所有只读域控制器
  • Group Policy Creator Owners - 该组中的成员可以修改域的组策略
  • 拒绝 RODC 密码复制组 - 该组中的成员不能将其密码复制到域中的任何只读域控制器
  • 受保护的用户 - 该组的成员获得针对身份验证安全威胁的额外保护。
  • 证书发布者 - 该组的成员被允许向目录发布证书
  • 只读域控制器 - 该组的成员是域中的只读域控制器
  • 企业只读域控制器 - 该组的成员是企业中的只读域控制器
  • 关键管理员 - 该组的成员可以对域内的关键对象执行管理操作。
  • Enterprise Key Admins - 该组的成员可以对林中的关键对象执行管理操作。
  • Cloneable Domain Controllers - 该组的域控制器成员可以被克隆。
  • RAS 和 IAS 服务器 - 该组中的服务器可以访问用户的远程访问属性

信托+保单

信任和策略齐头并进,以帮助域和树相互通信并维护网络内部的“安全性”。他们将规则置于林内域如何相互交互、外部林如何与林交互以及域必须遵循的总体域规则或策略的位置。

域信任概述

信任是网络中用户访问域中其他资源的机制。在大多数情况下,信任概述了林内域相互通信的方式,在某些环境中,信任可以扩展到外部域,在某些情况下甚至可以扩展到林。

有两种类型的信任决定域的通信方式:

  • 定向 - 信任的方向从信任域流向受信域
  • 传递性——信任关系扩展到两个域之外,包括其他受信任的域

建立的信任类型决定了森林中的域和树如何在攻击 Active Directory 环境时相互通信和发送数据,有时您可能会滥用这些信任以在整个网络中横向移动。

域策略概述

策略是 Active Directory 的重要组成部分,它们决定了服务器的运行方式以及它将遵循和不遵循的规则。您可以将域策略想象成域组,除了它们包含规则而不是权限,并且这些策略不仅适用于一组用户,还适用于整个域。它们只是充当 Active Directory 的规则手册,域管理员可以在他们认为必要时修改和更改以保持网络平稳和安全地运行。除了非常长的默认域策略列表外,域管理员还可以选择添加域控制器上尚未存在的自己的策略,例如:如果您想在域中的所有计算机上禁用 Windows Defender,您可以创建一个新组禁用 Windows Defender 的策略对象。域策略的选项几乎是无穷无尽的,并且是攻击者枚举 Active Directory 网络时的一个重要因素。

  • 禁用 Windows Defender - 在域中的所有计算机上禁用 Windows Defender
  • 数字签名通信(始终)- 可以在域控制器上禁用或启用 SMB 签名

Active Directory 域服务 + 身份验证

Active Directory 域服务是 Active Directory 网络的核心功能;它们允许管理域、安全证书、LDAP 等等。这就是域控制器决定它想做什么以及它想为域提供什么服务的方式。

域服务概述

领域服务正是他们听起来的样子。它们是域控制器向域或树的其余部分提供的服务。可以将多种服务添加到域控制器;下面概述了默认域服务:

  • LDAP - 轻量级目录访问协议;提供应用程序和目录服务之间的通信
  • 证书服务——允许域控制器创建、验证和撤销公钥证书
  • DNS , LLMNR, NBT-NS - 用于识别 IP 主机名的域名服务

域认证概述

Active Directory 最重要的部分——也是 Active Directory 最脆弱的部分——是设置的身份验证协议。Active Directory 有两种主要的身份验证类型:NTLM 和 Kerberos。

  • Kerberos - Active Directory 的默认身份验证服务使用票证授予票证和服务票证来对用户进行身份验证并授予用户访问域中其他资源的权限。
  • NTLM - 默认 Windows 身份验证协议使用加密的质询/响应协议

AD in the Cloud

Azure AD概述

Azure 充当物理 Active Directory 和用户登录之间的中间人。这允许在域之间进行更安全的交易,从而使许多 Active Directory 攻击无效。

Windows Server AD Azure AD
LDAP Rest APIs
NTLM OAuth/SAML
Kerberos OpenID
OU Tree Flat Structure
Domains and Forests Tenants
Trusts Guests

动手实验室

使用powshell来查看机器、计算机、用户和组来 了解 Active Directory 的内部结构

Windows 10 操作系统的名称是什么?

第二个“管理员”名称是什么?

哪个组的组名中有大写“V”?

上次为 SQLService 用户设置的密码是什么时候?

标签:域控制器,用户,Directory,管理员,Basic,Active,服务
From: https://www.cnblogs.com/-Lucky-/p/17305504.html

相关文章

  • PAT Basic 1082. 射击比赛
    PATBasic1082.射击比赛1.题目描述:本题目给出的射击比赛的规则非常简单,谁打的弹洞距离靶心最近,谁就是冠军;谁差得最远,谁就是菜鸟。本题给出一系列弹洞的平面坐标(x,y),请你编写程序找出冠军和菜鸟。我们假设靶心在原点(0,0)。2.输入格式:输入在第一行中给出一个正整数N(≤10......
  • PAT Basic 1081. 检查密码
    PATBasic1081.检查密码1.题目描述:本题要求你帮助某网站的用户注册模块写一个密码合法性检查的小功能。该网站要求用户设置的密码必须由不少于6个字符组成,并且只能有英文字母、数字和小数点 .,还必须既有字母也有数字。2.输入格式:输入第一行给出一个正整数N(≤100),随后N......
  • ubuntu 编译出现错误fatal error: bits/libc-header-start.h: No such file or direct
    在ubuntugcc编译程序出现错误fatalerror:bits/libc-header-start.h:Nosuchfileordirectory表明缺少库环境。解决方法aptupdateapt-getinstallgcc-multilib成功编译......
  • SpringBoot 集成 MybatisPlus 五——ActiveRecord
    1什么是ActiveRecordActiveRecord(活动记录),是一种领域模型模式,特点是一个模型类对应关系型数据库中的一个表,而模型类的一个实例对应表中的一行记录。在ActiveRecord模式中,对象中既有持久存储的数据,也有针对数据的操作,ActiveRecord模式把数据增删改查的逻辑作为对象的一......
  • Qt for Android QtQuick应用程序 USB连接手机调试运行错误:adb: failed to *.apk: No s
    1.场景Windows11、Qt6.5.0QtQuick应用程序USB连接手机调试运行。2.错误信息adb:failedto*.apk:NosuchfileordirectoryInstallingtodevicefailed!进程"C:\Users\Administrator\Qt\6.5.0\mingw_64\bin\androiddeployqt.exe"退出,退出代码16。安装应用失败,发生未知错......
  • PAT Basic 1080. MOOC期终成绩
    PATBasic1080.MOOC期终成绩1.题目描述:对于在中国大学MOOC(http://www.icourse163.org/)学习“数据结构”课程的学生,想要获得一张合格证书,必须首先获得不少于200分的在线编程作业分,然后总评获得不少于60分(满分100)。总评成绩的计算公式为\(G=(G_{mid−term}×40\%+G_{final}×......
  • PAT Basic 1079. 延迟的回文数
    PATBasic1079.延迟的回文数1.题目描述:给定一个\(k+1\)位的正整数\(N\),写成\(a_k⋯a_1a_0\)的形式,其中对所有\(i\)有\(0≤a_i<10\)且\(a_k>0\)。\(N\)被称为一个回文数,当且仅当对所有\(i\)有\(a_i=a_{k−i}\)。零也被定义为一个回文数。非回文数也可以通过一......
  • PAT Basic 1076. Wifi密码
    PATBasic1076.Wifi密码1.题目描述:下面是微博上流传的一张照片:“各位亲爱的同学们,鉴于大家有时需要使用wifi,又怕耽误亲们的学习,现将wifi密码设置为下列数学题答案:A-1;B-2;C-3;D-4;请同学们自己作答,每两日一换。谢谢合作!!~”——老师们为了促进学生学习也是拼了……本题就要求......
  • PAT Basic 1075. 链表元素分类
    PATBasic1075.链表元素分类1.题目描述:给定一个单链表,请编写程序将链表元素进行分类排列,使得所有负值元素都排在非负值元素的前面,而[0,K]区间内的元素都排在大于K的元素前面。但每一类内部元素的顺序是不能改变的。例如:给定链表为18→7→-4→0→5→-6→10→11→-2,K为......
  • PAT Basic 1074. 宇宙无敌加法器
    PATBasic1074.宇宙无敌加法器1.题目描述:地球人习惯使用十进制数,并且默认一个数字的每一位都是十进制的。而在PAT星人开挂的世界里,每个数字的每一位都是不同进制的,这种神奇的数字称为“PAT数”。每个PAT星人都必须熟记各位数字的进制表,例如“……0527”就表示最低位是7......