信安Note_day06

工作组和域

工作组

工作组是局域网中的一个概念，默认情况下所有计算机都处在名为 WORKGROUP 的工作组中，大部分中小公司都采取工作组的方式对资源进行权限分配和目录共享。

相同组中的不同用户通过对方主机的用户名和密码可以查看对方共享的文件夹，默认共享的是 Users 目录。不同组的不同用户通过对方主机的用户名和密码也可以查看对方共享的文件夹。

所以工作组并不存在真正的集中管理作用 , 工作组里的所有计算机都是对等的 , 也就是没有服务器和客户机之分的。工作组是对等网模式。

域

“什么是域？”：域环境是一种逻辑结构，从逻辑上将网络中的计算机组织到一起，进行统一管理。

域（Domain）是一个有安全边界（在两个域中，一个域中的用户无法访问另一个域中的资源）的计算机集合。域相对工作组，有一个更加严格的安全管理控制机制，如果你想访问域内的资源，就必须拥有一个合法的身份登陆到该域中，而你对该域内的资源拥有什么样的权限，还要取决于你在该域中的身份。

在“域”模式下，至少有一台服务器负责每一台联入域网络的电脑和用户的验证工作，相当于一个单位的门卫，称为“域控制器（Domain Controller，DC）”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

域的特点

• 集中管理

• 便捷的资源访问

• 可扩展性

域控制器DC负责存储整个域环境的数据信息。域是B/S模式。

工作组与域的区别（重点）

管理模式：工作组分散管理，域集中管理

管理结构：工作组对等网，域B/S架构

AD域

AD域的功能：权限集中、共享集中、策略部署。

权限集中：所有用户账户直接通过DC进行管理。

共享集中：共享数据后，通过权限配置，使得需要的用户能够直接访问该数据。

策略部署：对域中的计算机、用户实施统一策略部署，达到所有计算机、用户的配置相同，也可对某些特定用户进行区分。

活动目录

AD（Active Directory）的全称是活动目录

AD是Windows的一种服务器、一个目录数据库。

AD的特点和特性：集中管理、访问网络资源便捷、可扩展性强。

域控制器

域控制器简称DC。对整个域环境进行管理和控制。

域中的管理服务器（域控制器）通常为第一台安装了活动目录的服务器。

一个域可以有多台域控制器。

对象和属性

对象由一组属性组成，它代表的是具体事物。

属性就是描述对象的数据。

（属性是用来描述对象具体事物的数据。属性组合起来就形成对象。）

域结构

逻辑结构（重点）

在活动目录中，管理员可以完全忽略被管理对象的具体地理位置，而将这些对象按照一定的方式放置在不同的容器中。由于这种组织对象的做法不考虑被管理对象的具体地理位置，这种组织框架称为 “ 逻辑结构 ”。

在域树内的所有域共享一个活动目录，这个活动目录内的数据分散地存储在各个域内，且每一个域只存储该域内的数据。

• 单域：网络中只建立了一个域。

• 域树：域树中域以树的形式出现，由根域（域树中创建的第一个域）、父域（上级域）和子域（下级域）构成，共用连续名字空间的域就组成一个域目录树。（例如，chengdu.com 根域，xindu.chengdu.com 子域，gaoxin.chengdu.com 子域）

• 域林：域林是一个或多个目录树的集合，目录林中的目录树并不共用相同的连续的名字空间。域林中创建的第一个域为林根域。

• 组织单元（OU）：是域内的一种容器，也是一种对象。可以把域中的对象组织成逻辑组，以简化管理工作。组织单元可以包含各种对象，如用户账户、用户组、计算机、打印机等，甚至可以包括其他的组织单元，所以可以利用组织单元把域中的对象组成一个完全逻辑上的层次结构。对企业来讲，可以按部门把所有的用户和设备组成一个组织单元层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个组织层次结构。

• 全局编录服务器(GC)：存储着本域中所有对象所有属性，同时存储林中其他域中所有对象的部分属性。一般来说，属性是否存储在GC中，取决于该属性在搜索中使用的频率，由系统自动进行决定。主要具有以下两个功能：

  1. 允许用户在林中所有域上搜索活动目录信息,提高查询速度。

  2. 为域控制器提供请求验证登陆的用户信息。

物理结构

站点：对应高速稳定的IP子网，如企业内部的局域网

域控制器(DC)：域控制器是安装了 AD DS 服务器角色的服务器。

1. 承载 AD DS 目录存储的副本；

2. 提供身份验证和授权服务；

3. 将更新复制到域和林中的其他域控制器；

4. 允许在服务器上管理用户账户和网络资源；

5. Windows Server 2016 AD DS 支持 RODC；

6. 参与活动目录的复制；

7. 单主控操作。

域中的计算机分类

在域结构的网络中，计算机身份是一种不平等的关系，存在关以下4种类型：

域控DC（域控制器Domain Control）

安装了活动目录的服务器，存储了所有域范围内的账户和策略信息。在网络中可以将多台服务器配置为域控制器，并一起工作，即使部份域控制器瘫痪，网络访问仍然不受影响，提高了网络安全性和稳定性。

在域架构中域控是用来管理所有客户端的服务器，它负责每一台联入的电脑和用户的验证工作，域内电脑如果想互相访问首先都得经过它的审核。域控是域架构的核心，每个域控制器上都包含了AD活动目录数据库。一个域中可能应该要有至少两个域控。一个作为DC，一个是备份DC。如果没有第二个备份DC，那么一旦DC瘫痪了，则域内的其他用户就不能登陆该域了，因为活动目录的数据库（包括用户的帐号信息）存储在DC中的。而有一台备份域控制器（BDC），则至少该域还能正常使用，期间把瘫痪的DC恢复了就行了。

成员服务器（Windows Server）

安装了Windows Server 2016/2019/2008的服务器，又加入到了域，但没有安装活动目录的计算机。成员服务器提供网络资源，也被称为现有域中的附加域控制器。

独立服务器

不加入到域中也不安装活动目录，就称为独立服务器，独立服务器和域没有关系。

域中的客户机（windows）

加入到域中，但没有安装活动目录的其他操作系统的计算机。用户利用这些计算机和域中的账户，就可以登录到域，成为域中的客户端。域用户账号通过域的安全验证后，即可访问网络中的各种资源。

PS：服务器的角色可以改变，如服务器在删除时，如果是域中最后一个域控制器，则该服务器成为独立服务器，如果不是域中的最后一个域控制器， 则成为成员服务器。同时独立服务器既可以转换为域控制器也可以加入到某个域成为成员服务器。

活动目录的功能级别

分为林功能级别与域功能级别。

部署AD域的要求

1. 本地管理员权限

2. 操作系统版本必须满足条件

3. NTFS分区

4. 静态IP地址

5. 有足够的可用磁盘空间

6. 该服务器需要DNS角色

域环境管理

域用户账户的作用：验证用户的身份，授权或拒绝对域资源的访问。

域组的管理

组的类型

1. 安全组：为用户设置访问权限

2. 通讯组：用于电子邮件通信，包含联系人和用户帐户。

组的作用域

1. 本地域组：针对本域的资源创建本地域组，适用范围：本域。

2. 全局组：管理日常维护的目录对象，适用范围：整林及信任域。

3. 通用组：身份信息记录在全局编录中，查询速度快，适用范围：整林及信任域。

全局组和通用组的区别：

在多域环境中，通用组成员的身份信息记录在全局编录中，而全局组成员身份存储在每个域中。在多域环境中，相比较而言，通用组成员登录或者查询速度较快。

组织单位OU

OU的概念

1. OU是AD中的容器

2. 可在其中存放用户、组、计算机和其他OU

3. OU不能包含来自其他域中的对象

OU的常见结构

1. 基于部门

2. 基于地理位置

3. 基于对象类型

创建及删除OU

1. 防止对象被意外删除

VMware网卡的使用

只是用NAT（连接外网）、自定义两种模式（连接真实机、虚拟机互联）。

如何实现虚拟机与真实机互通

• 采用自定义模式，如vment1。

如何实现虚拟机之间的网络互通

• 使用同一个自定义，如vment1。可以将其视为一个交换机，再将两个虚拟机的IP地址配置到同一网段内，便可以网络互通。

如何实现虚拟机连接外网

• 使用vment8（NAT模式），只要使用NAT，IP地址需要改为自动获取方式。当虚拟机连接到外网之后，会自动更新系统。（如果非必要，尽量不连接外网）

• 当虚拟机连接上外网时，真实机也可以通过IP地址对其进行访问。

虚拟机网络故障的解决方法

• 当NAT出现BUG不能使用时，可以使用vment0代替NAT连接外网。（选择桥接模式，将其桥接到真实机的网卡），这种模式也尽量不要使用。会导致真实的网关压力过大，出现没有足够的IP可以分配的情况。

​​​​​​​