0x01 簡介
windows域是計算機網絡的一種形式,一個域環境至少包括一個域控制器,在windows網絡中,還有一種網絡形式是工作組,工作組內部的成員其等級都是相同的,而域中的成員所持有的權限則是由域控制器控制。
&esmp;windows域的目的就是爲了對域成員進行集中管理,可以對域中的成員分發不同權限,域的成員主要包括計算機和用戶,不同的計算機和用戶都可以分發不同權限並進行集中管理。
0x02 域的組成
- DC 域控制器,可以控制域中的其他成員
- 域成員,包含計算機和用戶賬戶等
0x03 活動目錄
活動目錄簡稱AD,提供對域成員的控制機制,是域中的最重要部分,只有存在於AD中的成員才能算是域中的成員。域中常見成員有計算機和用戶,也可以添加其他設備,在活動目錄之中可以對域成員進行分組控制,形成組織單位OU,並在不同OU內部添加策略。
0x04 組策略
組策略GPO,用於控制電腦相關的操作,簡單來說就是控制電腦可以做什麼和不能做什麼,以及配置相關的電腦環境。windows電腦都有本地組策略,控制當前用戶或當前計算機的設置,域的組策略則是可以通過DC下發到不同的OU,完成對成員機的控制。
組策略的應用順序:LSDOU
- L 本地組策略,域成員登錄之後,先運用本機的GPO
- S 站點,爲林之中的GPO
- D 域,整個域的GPO
- OU,組織單位,活動目錄中爲OU配置的GPO
- 運用順序由上至下,只要存在,都會進行配置,當出現衝突時,後面的策略會覆蓋前面的策略
0x05 域服務的安裝注意事項
- 域服務是基於DNS服務分發的,需要域服務就要安裝DNS服務器。
- windows提供了快捷的命令:dcpromo 來安裝域控制器
- 域兼容性表示的是域內的成員計算機最低的版本配置,一般來說選擇最低的就可以
- 成員機加入域需要配置DNS爲域的DNS,然後手動加入域環境,加入域環境的成員機才能用域中的成員賬戶登錄。
- 由於DNS服務需要被訪問,服務器的防火牆需要關閉或者更改配置。
- 虛擬機配置域的時候,策略下發會存在延遲問題。