工作组与域环境
一、工作组权限
本地最高管理员权限
1. Administrator用户在家庭版的电脑中是属于禁用的状态,在专业版中属于开启的状态,在server机器
中属于开启
2. Administrator用户的SID,最后一位是500
3. Administrator用户默认在administrators组中
本地普通管理员权限
本地一般管理员就是加入了administratorts组的管理员但不是administrator用户。
admin用户虽然也是管理员,但是有些操作也是执行不了的,因为有UAC。
UAC认证是什么
中文翻译为用户帐户控制
主要功能是进行一些会影响系统安全的操作时,会自动触发UAC,用户确认后才能执行。因为大部分的恶意软件、木马病毒、广告插件在进入计算机时都会有如:将文件复制到Windows或Program Files等目录、安装驱动、安装ActiveX等操作,而这些操作都会触发UAC,用户都可以在UAC提示时来禁止这些程序的运行
UAC的触发条件:
1. 修改Windows Update配置;
2. 增加或删除用户帐户;
3. 改变用户的帐户类型;
4. 改变UAC设置;
5. 安装ActiveX;
6. 安装或卸载程序;
7. 安装设备驱动程序;
8. 修改和设置家长控制;
9. 增加或修改注册表;
10. 将文件移动或复制到Program Files或是Windows目录;
11. 访问其他用户目录
UAC有用四种设置要求
简单来说,UAC设置分四种,分为始终通知、仅在程序尝试对我的计算机进行更改时通知我、仅当程序尝试更改计算机时通知我(不降低桌面亮度)和从不通知。
输入W+R --msconfig 设置UAC
本地系统最该权限
Administrator和system权限区别并不是说System比Administrator权限大,这两个用 户的区别
是:
Administrator是系统内置的管理员用户, 一般平时安装、运行程序、修改系统设置等都是以这个权限身份运行的。
System权限是系统本身的权限,比如任 务管理器里面的winlogon.exe、svchost.exe、 alg.exe这些进程等等,另外,注册表里面某些地 方只有系统自己可以访问,Administrator用户也不能访问。
二、域内机器权限
域内用户组介绍
机器加入到域,使用域内的用户进行登录,域内用户的信息存放在域控(DC)上,添加用户或者修改密码登操作都在域控上执行。
管理员组( Administrators)的成员可以不受限制地存取计算机/域的资源。它不仅是最具权力的一个组,也是在活动目录和域控制器中默认具有管理员权限的组。该组的成员可以更改Enterprise Admins、Domain-admins组的成员关系,是域森林中强大的服务管理组。
域管理员组( Domain-Admins) 指定的域管理员,拥有完整的管理员权限。因为该组会被添加到自己所在域的Administrators组中,因此可以继承Administrators组的所有权限。同时该组默认会被添加到每台域成员计算机的本地Administrators组中, 这样,Domain-admins组就获得了域中所有计算机的所有权。
企业系统管理员组(Enterprise-Admins)是域森林或者根域中的一个组。该组在域森林中的每个域内都是Administrators组的成员,因此对所有域控制器都有完全访问权。
问题?如果我要添加一个域管理员,是添加到域控Administrators组还是Domain-Admins组呢?
答:当张三再domain-admin组下时:以管理员身份运行cmd时不需要输入域内管理员密码的
常见的域控制器的默认配置,要将用户添加为域管理员,应将其添加到Domain Admins组。Domain Admins
常见的域控制器的默认配置,要将用户添加为域管理员,应将其添加到Domain Admins组。Domain Admins组是默认情况下具有域范围管理员权限的组,而Administrators组是每个域控制器的本地管理员组。具体来说,Domain Admins是一个全局组,它在整个域中有效,给予成员在域中具有最高权限的能力。而Administrators是每个域控制器的本地管理员组,它只在单个域控制器上具有本地管理员权限。
因此,如果你要向用户分配域管理员权限,应将其添加到Domain Admins组,因为这将在整个域范围内授予该用户管理员权限。
域用户组( Domain-users)中是所有的域成员。在默认情况下,任何由我们建立的用户账号都属于Domain-Users组,该组在域内机器中存在于Users。
Domain-Computers组,任何由我们建立的计算机账号都属于该组。
机器加入到域之后可以选择使用域内用户登录,也可以使用本地用户登录,注意以下的区别
1. 本地用户登录,是存放在本地文件中然后本机进行校验。域内用户登录,是要通过DC的认证之后,域关闭则无法通过域内用户登录。
才能登录,用户信息存放在域控上 。
2. 本地用户登录主要是对比NTLM HASH值,域认证是通过kerberos认证。
3. 机器可以选择本地登录或者域用户登录,本地用户 机器名\用户名,域内用户 域名\用户名。
域内最高管理员权限
域内最高管理员权限是域名\administrator,他没有UAC认证,他也是每个域内机器的本地管理员,和机器名\administrator具有相同的权限,SID也是500。
域内普通管理员权限
域内普通管理员就是加入了域中的Domain-Admins组,但不是administrator用户。
用户虽然也是管理员,但是有些操作也是执行不了的,因为有UAC。
如果要执行高权限的操作必须右键使用管理员打开。
域内普通用户权限
域用户组(Domain-users)中是所有的域成员。在默认情况下,任何由我们建立的用户账号都属于
Domain-Users组,该组在域内机器中存在于Users组。
他就相当于本地的普通用户权限,执行高操作的时候需要UAC认证。
机器用户和SYSTEM关系
Domain-Computers组,任何由我们建立的计算机账号都属于该组,机器账户是指在网络中用于代表计算机或设备的账户。在Windows域环境中,每台计算机都有一个机器账户,用于在网络中进行身份验证和授权。机器账户的名称通常以计算机名称或计算机GUID作为前缀,如“ZS-PC$"。机器账户与具体计算机相关联,用于代表计算机进行域认证和访问域资源。
当电脑加入到域中后机器账号的密码或同步到域控上,所以说本地system用户对应域内的机器用
户, 如果说我们渗透的电脑加入了域,但是使用本地用户进行登录,我们就可以提权到system用户,然后对域内进行查询。
虽然"System"账户是本地计算机上的特殊账户,而机器账户是域环境中的账户,但在某些情况下,例如当本地计算机需要访问域资源时,"System"账户可能会充当机器账户的角色。这是因为在域环境中,本地计 算机可以使用"System"账户作为其身份进行域认证和访问授权。但需要明确的是,它们仍然是两个不同的概念, "System"账户不是专门为域中的机器账户而创建的。
三、域信任关系解读
信任关系解读
域是安全边界,若无信任关系,域用户帐户只能在本域内使用。信任关系在两个域之间架起了一座桥梁,使得域用户帐户可以跨域使用。
信任关系分为:可传递的和不可传递的。
可传递:如果A域和B域之间的信任是可传递的,B域和C域之间的信任也是可传递的,那么A域和C域之 间就自动创建了信任关系。
不可传递:如果A域和B域之间的信任是不可传递的,或者B域和C域之间的信任是不可传递的, 那么A域和C域之间不会自动创建了信任关系。
单双向信任关系
单项信任
单向信任是在两个域之间创建的单向信任。这表示在域 A 和域 B 之间的单向信任中,
1. 域 A 中的用户可以访问域 B 中的资源。
2. 域 B 中的用户无法访问域 A 中的资源。
单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型
双向信任
林(域树)中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域A信任域B,并且域B信任域A。这表示可以在两个域之间双向传递身份验证请求。
内外部信任
内部信任
内部信任是指在同一个林中域之间的信任关系,这种信任关系是可传递的。
外部信任
外部信任指不同林之间域的信任关系,这种信任关系是单向或者双向不可传递的。
四、AD活动目录介绍
活动目录介绍
活动目录( Active Directory,AD)是指域环境中提供目录服务的组件,目录用于存储有关网络对象
(例 如用户、组、计算机、共享资源、打印机和联系人等)的信息。目录服务是指帮助用户快速、准确地
从目录中找到其所需要的信息的服务。活动目录实现了目录服务,为企业提供了网络环境的集中式管理
机制。
组织单元介绍
组织单元(OU)是域中包含的一类目录对象如用户、计算机和组、文件与打印机等资源,是一个容
器,可以在OU上部署组策略。
创建组织单元
右键点击zhihai.com,新建,创建。