Kerberos域安全系列(23)-域分组

最新推荐文章于 2022-07-21 17:03:59 发布
最新推荐文章于 2022-07-21 17:03:59 发布
阅读量486 收藏
点赞数 1
分类专栏: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prettyX/article/details/104313196
版权

查看域内分组的方法:

  • Dos命令:net group /domain
  • Powershell:Get-ADGroup
  • ADSI 图形界面
  • LDAP API 接口

一般来说,一个普通的域会有许多分组,对于大型的森林域来说会更多,其中许多分组没有成员,有些分组的成员重叠。为了理解划分这么多分组的意义,以一个例子开始。

假设1个公司有5个部门,每个部门都有自己的门禁卡,公司有30个员工,因为公司业务需求,需要赋予这30个员工不同的门禁权限,以根据员工的岗位决定是否可以进出指定的部门。

如果不分组,则必须在5个门禁上分别为30个用户设定权限以决定用户是否允许进出本门禁,不管是权限设置还是未来因为人员流动带来的取消设置,都非常麻烦。如果对员工进行分组,例如分作5个组,则每个部门最多需要配置这5个组的进出权限,远比30要方便,极大降低管理成本。

员工为了获取门禁权限,需要加入不同的组。当人员发送流动时,例如辞职入职等,需要对组进行不停的设置,也是消耗管理成本的一件事情。如果定义权限更精细化的分组,每个用户根据自己的职能需要,只加入指定的精细化分组,以获取开展工作所需的必要权限。

将这些精细化的分组,再加入不同的权限分组。当用户发生变动时,只需在所属的精细化分组中对用户进行调整即可,可极大简化管理成本。

通过比较,

最低0.47元/天 解锁文章
prettyX
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
无法确定的标识_渗透(一):Kerberos简介
weixin_39950470的博客
12-04 163
“ 世间最好的默契,并非有人懂你的言外之意,而是有人懂你的欲言又止。 by 瑞卡斯”01活动目录简介在90年代,微软引入了Windows专业版:Windows NT(New Technology)。Windows主机(服务器和工作站)按照“domains”进行分组是主机的逻辑组。他们由特定的Windows主机:控制器(主控制器和备控制器)管理。使用可以中心化管理用户...
排坑,控中将组策略下发到安全组(group)
热门推荐
zxm425的博客
09-08 2万+
1、先说说为啥不通过OU,而是通过group下发策略 额,公司战略。(这样说方便提升一下档次,哈哈)开个玩笑啊。主要是公司现在各个应用系统和管理系统都有自己的一套账户体系,管理麻烦,用户也会混乱,所以才会有这么个想法去把用户体系建立在AD上,这样就方便统一管理,但是每个应用(开源之类)都有自己同步用户的规则,为了方便,最终决定把组织结构拍平,所有用户都在一个OU下,所以这就导致了这样一个问题(还
安全(1)的基本知识
weixin_51339377的博客
03-27 1008
1.相比于传统的渗透测试,红队的攻击较为接近真实的入侵活动 红队是不择手段的,渗透测试是限定方法的 2.很多攻击手段都不是完全孤立的,而是连动化攻击 3.熟练掌握工具只是一小部分,各种原理的深度理解以及二次定制能力才是核心 4.内网的渗透测试(红队)比外网(渗透测试)要复杂很多,所以工具的使用并不是真正的核心 web打点优先考虑点: EDU:教务,新生报名,新生招待,毕业生论文答辩,毕业查询系统 医院:HIS(管理信息系统,临床医疗信息系统,医院信息系统的高级应用) 政府:政务云平台..
控制器中组的种类和含义
sanshow的技术专栏
10-23 2829
从组的使用范围来分,可以分为三种:全局组 本地组 通用组    1.全局组主要是用来组织用户的。全局组内可以包含同一个的用户账户与全局组,可以访问任何一个内的资源。  2.本地组具有所属的访问权限,以便访问本的资源。本地组的成员可以是同一个的本地组,也可以是任何内的账户、全局组和通用组,他们能访问的资源只是该本地组所在的资源。  3.通用
windows中不同类型的组
weixin_34249678的博客
12-07 358
TypeScopeMembers fromSame domainDomain same forestLocalLocalDL/G/UG/UDomain LocalDomainDL/G/UG/UGlobalforestGn/aUniversalforestG/UG/U仅 local/domain local组可以包括外部的glboal组。邮件分发列表和安全组可以相互转换。g...
教育教学(2022-2023年收集)第2章:配置ActiveDirectory基础结构.doc
12-28
3. **Kerberos策略**:Kerberos是一种用于验证网络身份的安全协议,相关策略可以在GPO中配置,以增强网络认证安全性。 4. **组策略工具**:管理员使用组策略管理单元(Group Policy Management Console, GPMC)来...
网络安全试题(1).doc
最新发布
06-10
Windows NT的用户考据是在 OSI 参照模型的哪一层供给安全保护? A 应用层 B 表示层 C 会话层 D 传输层 A A类 B B类 C C类 D D类 9. 针对 TCP层上的安全协议,微软推出了 SSL2的改进版本称为: A TLSP B PCT C SSL...
密码编码学与网络安全第四版答案
03-27
《密码编码学与网络安全》第四版是一本深入探讨信息安全核心概念的教科书,由威廉·斯托林斯(William Stallings)撰写。这本书涵盖了密码学和网络安全的基础理论及实践应用,旨在帮助读者理解并掌握保护网络...
AD与站点之间的关系.pdf
07-10
森林内的所有共享相同的架构、配置和全局目录,各树之间通过Kerberos信任关系相互认识,允许跨树的资源访问。 5. **AD与站点的关系**: 站点(Site)是AD为解决网络速度和地理分布问题引入的概念。站点是...
网络安全组(NSG)简介
zangdalei的专栏
11-08 1万+
网络安全组(NSG)简介
Kerberos安全系列(1)-前言
prettyX的博客
01-12 370
这是一个模拟的网络拓扑图 以红色实线框起来的部分(请忽略用铅笔手绘的部分),一般称之为Kerberos网络,也是这一系列的研究内容 学习目标 掌握网络的主要应用场景:企业网络中的部署应用模式,信任、森林;以及云对于部署的影响 透彻理解KerberosKerberos协议是的基础,掌握基础才能分析漏洞、方法,研究新成果 掌握攻击的主要方法:不知攻,焉知防! ...
kerberos 认证为什么不适用local(本地)
GeneralLoveMoney
03-31 662
<br />'local' in this case means 'unix socket'.  Kerberos does a reverse-DNS<br />lookup on the IP address it's going to connect to in order to figure out<br />what service princ to ask the KDC for.  That doesn't work for unix<br />sockets.
AD(活动目录)中组的类型与工作范围
正月十六工作室
06-11 7745
一、组的类型 在活动目录中,有两种不同类型的组:通讯组和安全组。  通讯组:其存储了用户的联系方式,用来实现批量用户账号的通信,例如群发邮件、视频会议等,它没有安全特性,不可用于授权。  安全组:具备通讯组的全部功能,并可用于为用户和计算机分配权限,是windows servre 2012标准的安全主体。 小测试:创建一个通讯组和一个安全组,并在中创建一个共享目录,然后测试能否在该共享目录中给这两种类型的组授予访问权限? 二、组的工作范围 组的工作范围是用来限制组的作用的。在中,根据组的工作范围进
中的组策略(Group Policy)
谢公子的博客
10-13 5152
组策略 组策略是Windows环境下用户管理对象的一种手段。组策略分为本地组策略和组策略。本地组策略适合于管理独立的未加入的工作组的机器。而组策略则是用于管理环境中的对象;本文主要讲解环境中的组策略。关于本地组策略,传送门: 环境中通过配置组策略可以对中的用户、用户组、计算机进行不同维度的管理;如安全配置、注册表配置、软件安装配置、开关机与登入登出管理等。配置的组策略通过关联到站点、、组织单位上来在不同层级上应用不同的策略配置。组策略配置分为两部分,分别是计算机配置和...
浅谈渗透中的组策略及gpp运用
hongduilanjun的博客
07-21 1088
组策略(英语GroupPolicy)是微软WindowsNT家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”),这可以在独立且非的计算机上管理组策略对象。通过使用组策略,你可以设置策略设置一次,然后将该设置复制到多台计算机上。...
本地组和全局组的区别
weixin_30378623的博客
06-11 251
全局组: 只能在创建该全局组的上进行添加用户账户和全局组,而且全局组可以嵌套在其他组中。可以将某个全局组添加到同一个上的另一个全局组中,或添加到其他的通用组和本地组中(注意这里不能它加入到不同的全局组中,全局组只能在创建它的中添加用户和组)。虽然可以利用全局组授予访问任何上的资源的权限,但一般不直接用它来进行权限管理。 本地组: 可以从任何添加用户账户、通用组和全局...
全局组\通用组\本地组\安全组\通讯组区别
weixin_33805743的博客
09-29 3147
A.OU(组织单元)与Group(组)之对比 首先我们要明确OU与Group是完全不同的概念,OU的主要是为进行管理上层次组织以及组策略的实施而设立的容器。简单的说,你不能为一个OU设置权限,但是,你可以为一个OU指定组策略,并且,你可以为一个OU将权力委派控制(在2000中是这么说的,但说成是“下放”也不为过)给特定的用户,组,或计算机(有点儿象人事部?),让他(她,...
MIT Kerberos网络安全指南:实现企业级身份验证与加密
例如,配置文件部分指导如何设置realm名称、映射主机名到Kerberos、选择KDC(Key Distribution Center)的端口以及处理主数据库的同步和复制。数据库管理员可以通过kadmin工具进行操作,包括设置日期格式、创建和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值