网络安全 —— 域服务基础
1. 域
工作组:由于工作组的网络资源少,管理较为分散,一般适用于小型网络(对等管理) 域 Domain:在网络环境中组织和管理用户、计算机和其他资源的逻辑集合 域是一种环境:将网络中的多台计算机,以逻辑的方式组织到一起,实现了集中管理的环境(不对等管理) 域控制器(DC):Domain Controller,在Windows服务器操作系统中扮演域的管理和控制角色的服务器 活动目录(AD):Active Directory,一种目录服务,在Windows操作系统中组织、存储和管理网络中的对象信息 特点: 实现了网络中的用户、计算机、组织单位等的集中管理 便捷的网络资源访问 扩展性 服务器升级域的基础条件:Ⓐ 操作系统版本必须为Windows Server Ⓑ TCP/IP的配置(IP地址、子网掩码) Ⓒ 具有本地administrator管理员权限 Ⓓ具有足够的磁盘空间 Ⓔ有DNS服务器支持 Ⓕ本地磁盘至少有一个NTFS文件系统的分区 ► 每个域至少有一台域控制器 |
2. 域环境的创建
创建基础:至少需要2台(虚拟机)设备 客户端(IP:192.168.1.10/24) 服务器(IP:192.168.1.20/24) |
(1)服务端网络地址配置
位置:控制面板 🢂 网络和 Internet 🢂 网络和共享中心 🢂 Ethernet0 🢂 右击(选择属性) 🢂 选择IPV4 🢂 点击属性 🢂 (进行网络配置)
(2)安装活动目录(AD)
① 服务器名称及状态
② 安装域服务
安装完成后点击关闭
③ 升级为域控制器
④ AD域服务配置
之后一直下一步,进行安装
⑤ 查看是否为域环境
(3)(用户端)加入域环境
① 用户端的工作环境(工作组)
② 将PC1加入域
③ 重启,查看是否成功加入域
④ 服务端查看:服务器管理器 🢂 工具 🢂 Active Directory用户和计算机 🢂 Computers
3. 域用户管理
目录服务:一种分层、层次结构化的目录服务,用于组织和存储有关网络资源和身份验证的信息 |
(1)打开活动目录
打开活动目录:① Win + R键运行dsa.msc;
② 服务器管理器 🢂 工具 🢂 Active Directory用户和计算机
(2)新建域用户
① 创建域用户
② 客户端登录(切换原本地用户:.\原本地用户)
(3)配置域用户属性
① 属性高级显示
>② 指定登录时间(该用户只能在允许的时间段内才能登录)
③ 指定登录主机(该用户只能在该计算机上才能登录)
4. 组织单位(OU)
容器:有效地组织活动目录对象的逻辑容器 组织单位:组织单位(OU,Organizational Unit),域活动目录中的一种逻辑容器,用于组织和管理域中的对象 ▶ 逻辑容器:不是物理上的划分,而是通过域活动目录的架构来组织对象(一个域可以包含一个或多个 OU,每个 OU 可以包含其他 OU 或对象) ▶ 层次结构:OU 可以创建多层的层次结构,形成一个树状结构(设计方式:按部门、地区、项目等划分) ▶ 管理权限:OU 可以授予不同的管理员或用户特定的管理权限(创建用户、分配权限、设置策略) ▶ 组织灵活:OU 提供了一种灵活的组织方式,可以根据组织的需求进行调整和重新组织(创建、删除或移动 OU) 作用:(管理员)更好地组织和管理域中的对象,提高组织的效率和安全性 |
① 新建组织单位OU
② 删除测试
③ 删除权限修改
5. 域环境组策略
组策略(Group Policy):Windows域环境中用于集中管理和配置计算机和用户的一种特性, 即一组策略的集合 ▶ 集中管理:域环境组策略允许管理员在域控制器上创建和配置策略,然后将其应用到域中的计算机和用户上 ▶ 设置和配置:组策略涵盖了广泛的设置和配置选项,包括安全设置、网络设置、软件安装、注册表项、桌面设置等 ▶ 策略优先级:(继承/阻止/强制继承/累加)上下级策略不冲突,下级容器的用户受到上级及下级容器所有策略的影响(存在优先级冲突时,后应用的组策略将覆盖先应用的组策略中的相同设置) ▶ 继承和覆盖:默认下级容器继承上级容器的组策略; 默认下级容器继承上级容器的组策略; 上级容器强制下级应用上级容器的组策略; 上级配置强制继承,下级再阻止继承无效; 上下级策略冲突,下级容器用户受下级容器策略的影响 作用:管理员可以实现对整个域中计算机和用户的集中化管理,确保安全性、一致性和可控性 默认的2个组策略设置对象(GPO) 默认域策略 (Default DomainPolicy) 默认域控制器策略 (Default Domain Controllers Policy) |
禁止更改个人主页
① 打开组策略管理
② 回到客户端验证
域:一个域表示一个逻辑网络边界,包含一组计算机、用户和组。每个域都有一个唯一的名称。
树:多个域可以组成一个域树,形成一个层次结构。域树使用树状结构来组织域,其中一个域被指定为根域,其他域则成为其子域。
林:多个域树可以组成一个域林。域林表示一个安全边界,它通过单向信任关系来实现域之间的信任和资源共享。
组织单位(OU):组织单位是域内的容器,用于组织和管理对象,如用户、计算机和组。组织单位按照特定的层次结构进行组织,可以根据部门、地理位置或其他组织结构进行划分。
对象:对象是在域中创建和管理的实体,包括用户、计算机、组和其他资源。每个对象都有唯一的标识符(SID)和属性,用于描述它们的特征和属性。
域控制器(DC):域控制器是运行域活动目录服务的服务器,在域中提供身份验证、授权和其他目录相关的服务。每个域至少有一个域控制器。
目录服务:域活动目录提供了一种分层、层次结构化的目录服务,用于组织和存储有关网络资源和身份验证的信息。目录服务通过LDAP(轻型目录访问协议)和其他标准协议来访问和管理这些信息
- 附:
# 查看用户(所有)
net user
# 查看指定用户
net user 用户名
# 添加密码
net user 用户名 密码 /add
# 创建隐藏用户
net user 用户名$ 密码 /add
# 打开注册表查看
regedit
# 查看本地用户组(所有)
net localgroup
# 查看指定本地用户组
net localgroup 组名
# 添加用户组
net localgroup 组名 /add
# 添加用户组及描述信息
net localgroup 组名 /comment:"描述信息" /add
# 将用户添加到组
net localgroup 组名 用户名 /add
# 强制刷新策略
gpupdate /force
# DNS域名解析
nslookup 域名
win + R 运行
打开本地组策略 ➽ gpedit.msc
打开本地安全策略 ➽ secpol.msc
打开DNS ➽ dnsmgmt.msc
打开IIS ➽ inetmgr
打开活动目录 ➽ dsa.msc