返回
Featured image of post 域相关概念
内网

域相关概念

go!

域相关概念

应用服务器区:OA、开发、数据库等

网络代理:内网出网代理、多层代理

场景

原本DMZ区是不能访问内网的,比如DMZ区有邮件服务器(可以有两种认证实现:第一种即自己构建认证机制;第二种是依赖认证服务器进行认证),如果采用第二种认证实现:依赖于内网的认证服务器,那么一旦DMZ区沦陷就会将认证服务器暴露出来

折合解决方法

在DMZ区建一台域服务器,要求该域服务器只能从内网认证服务器进行读,而不能向内网认证服务器进行写。

DSRM password:恢复模式密码,当自身故障不能恢复时,需要大的xx来进行恢复

基本概念

域(Domain)

域是企业网络中人为定义的一组计算机和用户的集合,目的是统一集中管理,具有严格的安全边界(一个域中的用户无法访问另一个域中的资源)

域控制器(Domain Server)

域内一台具备管理功能的服务器。域控制器负责所有连入的计算机和用户的验证工作(存放活动目录)。

作用

其存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机要进入域,DS首先鉴别该计算机是否属于这个域,以及用户使用的账号是否存在、密码是否正确。

域中的环境

父子域

一般同一个域内的信息交互式非常多的,且不压缩,占用带宽较大,所以需要在网络中划分多个域,多个域之间的交互式较少的,且可以压缩。第一个域称为父域,各分部的域称为该域的子域。

第一种-自己划分形成父子域:

第二种-建立和其他域的信任关系形成父子域:

域森林

域树(父子域)通过建立信任关系组成集合成为域森林。

域森林间

森林与森林间建立信任关系:

域名服务器

域中的计算机使用DNS来定位域控制器、服务器及其他计算机、网络服务的,所以域的名字就是DNS域的名字。

内网环境中,一般是通过寻找DNS服务器来确定域控制器的位置(DNS服务器和域控制器一般配置在同一台机器上)。

活动目录

目录用于存储有关网络对象(用户、组、计算机、共享资源、打印机和联系人等)的信息。目录服务帮助用户快速、准确找到其所需要的信息。活动目录的实现为企业提供了网络环境的集中式管理机制。

活动目录更像一本字典的索引。

举例

甲公司分有财务科、人事科等,分为为每个科建立一个域,可将这几个域构成域树交给甲公司管理;甲公司、乙公司等属于A集团,那么每个公司的域树可构成域森林交给A集团管理。因此A集团可以按**“A集团(域森林)->子公司(域树)->部门(域)->员工"的方式对网络进行层次分明的管理**。

功能

  • 账号集中管理:所有账号均存储在服务器中
  • 软件集中管理:统一推送软件、安装网络打印机等
  • 环境集中管理:统一客户端桌面、TCP/IP协议等设置
  • 增强安全性:统一部署杀毒软件和病毒扫描任务、集中管理用户计算机权限、统一制定用户密码策略

DS和活动目录的关系

在规模较大的网络中,将计算机、用户、用户组、打印机、共享文件等多个对象有序放在一起,并将检索信息整理好以便查找和使用。这个拥有层次结构的数据库就是活动目录数据库,简称AD库。

将AD库放在一台计算机上,那么这台计算机就称为DC。

域中计算机的分类

域控制器

用于管理所有的网络访问。

可以有多台计算机被配置为DS,以分担用户的登录、访问操作。多个DS可以一起工作,自动备份用户账户和活动目录数据。

成员服务器

加入了域但没有安装AD的应用服务器、文件服务器、数据库服务器等

客户机

用户利用客户机和域账号即可登录进入某个域。

独立服务器

独立服务器和域没有关系。即:不加入域也不安装AD。

域分组

组是用户账号的集合。通过向一组用户分配权限,就可不必为每个用户分别分配权限。

域本地组

只能作用于特定对象,例如证书发布、打印操作、备份操作等。

全局组

只能作用于本域,不能跨域或跨森林。

一般每个全局组都有一个自己的名字,以便区分和使用。

通用组

作用于整个森林域,表示在整个森林内部的所有域间通用,因此该组的变动尽可能小(每次变动都要同步更新到全局数据库中)。

组之间的关系

域本地组不能加入其他安全组;全局组可以加入到全局组、通用组、域本地组;通用组可以加入到通用组、域本地组

通用组涉及跨域,即其他域的成员可以加入通用组

域本地组直接对应资源。一个用户加入域中,会被分配至某个全局组;而域本地组成员一般是全局组,全局组成员才是用户。

通用组比较特殊,只存在于森林的根域中,所以其成员只能是根域的全局组;同时,由于通用组作用范围为森林内部的所有域,所以当作用于特定域(例如下图中的A域)时,该通用组又隶属于A域的某个域本地组,得以访问A域的资源。

例如Enterprise Admins是一个通用组,它的成员是:

而当它作用于hack域时,又隶属于某个域本地组:

常见的组

  • 域管理组(Domain Admins)

对域内所有控制器、服务器、主机和活动目录有完全的控制权限。隶属于Users容器,容器路径:CN=Domain Admins,CN=Users,DC=hack,DC=testlab

  • 管理员组(Administrators)

该组仅对域服务器和活动目录有完全控制权,是域本地组范畴。隶属于Builtin容器,容器路径:CN=Administrators,CN=Builtin,DC=hack,DC=testlab

注意:

Domain Admins和Administrators并不相同,前者为域全局组而后者为域本地组,且Domain Admins组是Administrators组的成员。

  • 企业管理组(Enterprise Admins),是通用组范畴,只存在于根域,每个子域将该组加入本域的Administrators组,因而具备在当前子域的完全控制权限。
Licensed under CC BY-NC-SA 4.0
© 2020 - 2022 cOOl 's blog
Built with Hugo
Theme Stack designed by Jimmy