一、什么是域(Domain):
Windows域,是计算机网络的一种形式,其中所有的用户账户、计算机、打印机和其它安全主体都在位于称为域控制器的一个或者多个中央计算机集群上的中央数据库中注册,身份验证在域控制器上进行。
在Windows网络操作系统中,域是安全边界,域管理员只能管理域的内部,除非其它的域显式地赋予它管理权限,才可以访问或者管理其它的域。
每个域都有自己的安全策略以及与其它域的安全信任关系,如果企业网络中计算机和用户数量较多时,要实现高效管理,就需要Windows域。
域中计算机的分类:域控制器、成员服务器、客户机、独立服务器
二、什么是工作组(Work Group):
工作组是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,以方便管理。
工作组可以是一个由许多在同一物理地点,而且被相同的局域网连接起来的用户组成的小组。相应地,一个工作组也可以是遍布一个机构的,但却被同一网络连接的用户构成的逻辑小组。
域与工作组的区别:
1、创建方式不同,"工作组"可以由任何一个计算机的主人来创建,而"域"只能由服务器来创建。
2、安全机制不同,在"域"中有可以登录该域的帐号,这些由域管理员来建立。在"工作组"中不存在组帐号,只有本机上的帐号和密码。
3、登录方式不同,在工作组方式下,计算机启动后自动就在工作组中。登录"域"是要提交"域用户名"和"密码",一旦登录,便被赋予相应的权限。
三、域的几种环境:
1、单域:
在一个地理位置固定的小公司,建立一个域通常就可以满足需求。在一个域内,一般至少需要两台域服务器,一台作为DC,一台作为备份DC。
2、父域和子域:
出于管理及其它需求,需要在网络中划分多个域,第一个称为父域,各分部的域称为该域的子域。
3、域树:
域树是多个域通过建立信任关系组成的集合。一个域管理员只能管理本域,不能访问或者管理其它域。如果两个域之间需要互相访问,则需要建立信任关系。信任关系是连接不同域的桥梁。域树内的父域和子域,不但可以按照需要相互管理,还可以跨网络分配文件和打印机等设备及资源,从而在不同的域之间实现网络资源的共享和管理、通信及数据传输。
4、域森林:
域森林是指多个域树通过建立信任关系的集合。
5、域名服务器:
DNS(Domain Name Server,域名服务器)是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表,以解析消息的域名。在内网渗透测试中,大都是通过寻找DNS服务器来确定域控制器的位置(DNS服务器通常和域控制器配置在同一台机器上)
四、活动目录:
活动目录(Active Directory,AD)是指域环境中提供目录服务的组件,活动目录是微软提供的统一管理基础的平台,ISA、Exchange、SMS等都依赖这个平台。
主要提供以下功能:
- 账号集中管理
- 软件集中管理
- 环境集中管理
- 增强安全性
- 更可靠,更短的宕机时间
活动目录和域控制器的区别:
域控制器就是安装了活动目录服务的一台计算机,域是包括与控制器在内的整个活动目录的服务范围。
只要你的服务器设置为域,就要用到活动目录,所有的服务都是围绕活动目录展开的。
五、几个比较重要的权限:
域本地组权限:
- 管理组权限(Administrators)
- 远程登陆组(Remote Desktop Users)
- 打印机操作员组(Print Operators)
- 账号操作员组(Account Operators)
- 服务器操作员组(Server Operators)
- 备份操作员组(Backup Operators)
全局组、通用组权限:
- 域管理员权限组(Domain Admins)
- 企业系统管理员权限组(Enterprise Admins)
- 架构管理员组(Schema Admins)
- 域用户组(Domain Users)