本文作者:掉到鱼缸里的猫(Ms08067内网安全小组成员)
掉到鱼缸里的猫微信(欢迎骚扰交流):
说明:本文仅在Windows Server 2016 R2上进行测试,不保证其他版本环境下结果一致。
Windows 域关系学习
1. 基本概念
2. 林中的信任关系
2.1 父子域
2.2 林中树之间
3. 不同林中的信任关系
3.1 外部信任
3.1.1 两个林根域之间
单向外传信任
单向内传信任
3.1.2 外部域和子域之间
3.1.3 外部域与林中树
4. 林信任
5. 总结
6. 在其他主机中使用dsquery
1. 基本概念
1.域是Windows网络操作系统的安全边界,域内主机各种策略由域控制器统一设定,域中所有主机共享一个集中式的目录数据库,包含着整个域内的对象。父域和子域之间构成域树,多个域树构成域林,林中的第一个被创建的域,作为该林的根域。Windows NT中,名称空间是平行的,尽管可以将NT域配置为彼此信任,但每个域都是一个完全独立的实体。
目录林根级域包含 Enterprise Admins 和 Schema Admins 组。这些服务管理员组用于管理林级操作,例如添加和删除域以及实现架构更改。
2. 信任方向:
内传(内向信任,Direct Inbound):信任此域的域,这个域(当前域)中的用户,可以在指定域、领域或林中得到身份验证。
外传(外向信任,Direct Outbound):受此域信任的域,指定的域、领域或林中的用户可以在这个域中得到身份验证。
双向:内传 + 外传
3. 信任传递:企业内部来自间接信任域的用户可以在信任域中进行身份验证。
4. 信任类型:
外部信任:林外部的两个域之间的不可传递的信任。
林信任:两个林之间的可传递信任,允许一个林中的任何域中用户在另一个林中的任何域收到身份验证。只有林的根域之间才可以使用这个选项。
5. 身份验证级别:
全域性身份验证:windows将自动对指定域用户使用本地域的所有资源进行身份验证,在默 认情况下可以进行IPC连接。
选择性身份验证:windows将不会自动对指定域的用户使用本地域的任何资源进行身份验证,需要由管理员向指定域用户授予每个服务器的访问权。</