sqlserver2000给账户授予所有的权限_内网渗透 | 域内权限解读

最新推荐文章于 2023-07-14 20:41:49 发布
最新推荐文章于 2023-07-14 20:41:49 发布
阅读量463 收藏
点赞数
cd9de71004151ece39f132c60167a63a.png域内权限解读

目录

域本地组

全局组

通用组

A-G-DL-P策略

内置组

几个比较重要的域本地组

几个比较重要的全局组、通用组的权限

235ac3d437c52cf49fc70af1f5ad03f1.gif

域本地组

多域用户访问单域资源(访问同一个域)

可以从任何域添加用户账户、通用组和全局组,但只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。

全局组

单域用户访问多域资源(必须是一个域里面的用户)

只能在创建该全局组的域中添加用户和全局组。可以在域森林的任何域内指派权限。全局组可以嵌套在其他组中。

可以将某个全局组添加到同一个域的另一个全局组中,或者添加到其他域的通用组和域本地组中(不能添加到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。虽然可以通过全局组授予用户访问任何域内资源的权限,但一般不直接用它来进行权限管理。

全局组和域本地组的关系,与域用户账号和本地账号的关系类似。域用户账号可以在全局使用,即在本域和其他关系的其他域中都可以使用,而本地账号只能在本机中使用。例如:将用户张三(Z3)添加到域本地组 Administrators 中,并不能使Z3对非DC的域成员计算机拥有任何特权。但若将Z3添加到全局组Domain Admins中,用户张三就成为了域管理员了(可以在全局使用,对域成员计算机拥有特权)。

通用组

多域用户访问多域资源

通用组的成员可包括域树或域林中任何域的用户账号、全局组和其他通用组,可以在该域森林的任何域中指派权限,可以嵌套在其他组中,非常适合在域森林内的跨域访问中使用。不过,通用组的成员不是保存在各自的域控制器中,而是保存在全局编录(GC)中年的,任何变化都会导致全林复制。

全局编录通常用于存储一些不经常发生变化的信息。由于用户账号信息是经常变化的,建议不要直接将用户账号添加到通用组中,而要先将用户账号添加到全局组中,再把这些相对稳定的全局组添加到通用组中。

简单一句话概括:

  • 域本地组:来自全林,作用于本域

  • 全局组:来自本域,作用于全林

  • 通用组:来自全林,作用于全林

A-G-DL-P策略

A-G-DL-P策略是指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。

  • A 表示用户账号(Account)

  • G 表示全局组(Global Group)

  • U 表示通用组(Universal Group)

  • DL 表示域本地组(Domain Local Group)

  • P 表示资源权限(Permission)

按照A-G-DL-P策略对用户进行组织和管理是非常容易的。在A-G-DL-P策略形成以后,当需要给一个用户添加某个权限时,只要把这个用户添加到某个域本地组中就行了。

内置组

在安装域控制器时,系统会自动生成一些组,称为内置组。内置组定义了一些常用的权限。通过将用户添加到内置组中可以使用户获得相应的权限。

活动目录控制台窗口的 Builtin 和 Users 组织单元中的组就是内置组。

  • 内置的域本地组在 Builtin 组织单元中。

  • 内置的全局组合通用组在 Users 组织单元中。 

548e47f15b58c035240c90414861111f.png

ebc3b18a66f1cae1bc91a4fa2a8a84c6.png

几个比较重要的域本地组

  • 管理员组(Administrators):该组的成员可以不受限制地存取计算机/域内的资源。它不仅是最具权利的一个组,也是在活动目录和域控制器中默认具有管理员权限的组。该组的成员可以更改 Enterprise Admins、Schema Admins 和 Domain Admins 组的成员关系,是域森林中年强大的服务管理组。

  • 远程登录组(Remote Desktop Users):该组的成员具有远程登录权限。

  • 打印机操作员组(Print Operators):该组的成员可以管理网络打印机,包括建立,管理及删除网络打印机,并可以在本地登录和关闭域控制器。

  • 账号操作员组(Account Operators):该组的成员可以创建和管理该域中的用户和组并为其设置权限,也可以在本地登录域控制器。但是,不能更改属于Administrators或Domain Admins组的账号,也不能更改这些组。在默认情况下,该组中没有成员。

  • 服务器操作员组(Server Operators):该组的成员可以管理域服务器,其权限包括建立、管理、删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器、变更服务器的系统时间、关闭域控制器等。在默认情况下,该组中没有成员。

  • 备份操作员组(Backup Operators):该组的成员可以在域控制器中执行备份和还原操作,并可以在本地登录和关闭域控制器。在默认情况下,该组中没有成员。

几个比较重要的全局组、通用组的权限

  • 域管理员组(Domain Admins):该组的成员在所有加入域的服务器、域控制器和活动目录中均默认拥有完整的管理员权限。因为该组会被添加到自己所在域的Administrators组中,因为可以继承Administrators组的所有权限。同时,该组默认会被添加到每台域成员计算机的本地Administrators组中。这样,Domain Admins组就获得了域中所有计算机的所有权。如果希望某用户成为域系统管理员,建议将该用户添加到Domain Admins组中,而不要直接将该用户添加到Administrators组中。

  • 企业系统管理员组(Enterprise Admins):该组是域森林根域中的一个组。该组在域森林中的每个域内都是Administrators组的成员,因此对所有域控制器都有完全访问权。

  • 域用户组(Domain Users):该组是所有的域成员,在默认情况下,任何由我们建立的用户账号都属于Domain Users组,而任何由我们建立的计算机账号都属于Domain Computers组。因此,如果想让所有的账号都获得某种资源存取权限,可以将该权限指定给域用户组,或者让域用户组属于具有该权限的组。域用户组默认是内置域Users组的成员。

  • 架构管理员组(Schema Admins):该组是域森林根域中的一个组,可以修改活动目录和域森林的模式。该组是为活动目录和域控制器提供完整权限的域用户组,因此,该组成员的资格是非常重要的。

a70f821b07df06e16116bb2742476f2b.gif

责编:vivian

来源:谢公子博客

b042cda93f55a53baba1d338cf98b8c5.gif扫码关注我们吧!如果文中有错误的地方,欢迎指出。有想转载的,可以留言我加白名单。
最后,欢迎加入谢公子的小黑屋(安全交流群)(QQ群:783820465) 5f4d1198d794cadb01118a3f0b223351.png b042cda93f55a53baba1d338cf98b8c5.gif
weixin_39611413
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQLServer2000jmjc.rar_SQL_Server_SQL_
08-12
SQL Server 2000 简明教程》是一份专为初学者设计的教程,旨在帮助读者快速掌握Microsoft SQL Server 2000的基本概念、安装与配置、数据库管理以及查询语言SQL的使用。SQL Server是微软公司推出的一款企业级关系型...
用户加入管理员组_计算机加入
weixin_39821189的博客
01-12 1318
以下步骤均在虚拟机里完成,计算机的IP地址和DNS根据实际需要配置。查看是否部署成功部署安装活动目录()点击下方链接部署安装活动目录1.计算机右键属性-所属 kldxxsg.com2.计算机右键属性-管理-角色Computers:普通成员机列表Domain Controllers:DC列表users:账号DNS服务器中是否自动创建kldxxsg.com区文件及自动注册DC的...
拥有名后,怎么通过名访问我本地的应用服务
weixin_42575505的博客
12-17 885
拥有名后,你需要将该名解析到你本地电脑的 IP 地址。 具体来说,你需要编辑你本地电脑的 hosts 文件,在 hosts 文件中添加一条记录,将名映射到你本地电脑的 IP 地址。 例如,如果你的名是 example.com,你的本地 IP 地址是 192.168.1.100,那么你可以在 hosts 文件中添加一条记录: 192.168.1.100 example.com 保存 host...
将普通用户加入到虚拟桌面的本地管理员组
weixin_34332905的博客
08-24 299
我们在实施虚拟桌面项目的过程中,用户常会有如下的需求:让登陆虚拟桌面的用户具有本地管理员的权限。 一般解决办法:我们直接在VM模板里把domain users加入到本地administrator组里,这样使每个用户都具有本地管理员的权限。这样操作也存一个问题,每个用户都具有本地管理员的权限,存在隐患。那么我们如何能做到只让当前登陆虚拟桌面的用户加入到本地管理员组,而...
outlook用户名怎么填_Win Server 2012 R2 AD-用户电脑加入管理、创建用户
weixin_39964869的博客
12-03 2293
一步一步创建Windows Server 2012 R2 AD之用户电脑加入管理、创建用户前言公司电脑之前用的是工作组管理,没有用管理,每个人都有管理员权限,有了管理员权限,随便更改IP地址,随便装随身wifi给自己用,随便设置个共享文件夹,随便安装软件,随便插U盘带来病毒等等情况时有发生,离职人员走了没有留下windows密码还得用U盘破。AD服务器建立起来后,下一步就要把用户端的电脑加...
网络管理员必知的(DOmain)知识:详解部署与操作
weixin_43263566的博客
11-08 1万+
(DOmain)
更改SQL Server更改当前数据库的所有者:sp_changedbowner
09-11
"更改SQL Server当前数据库的所有者:sp_changedbowner" 在SQL Server中,更改当前数据库的所有者可以通过存储过程sp_changedbowner来实现。该存储过程允许DBA更改当前数据库的所有者,从而实现数据库权限控制和...
SQL Server降权运行 SQL Server 2000以GUESTS权限运行设置方法
09-10
2. 设置目录权限:进入SQL Server的安装目录,例如“D:\Program Files\Microsoft SQL Server\”,并为“sqlservice”账户授予完全控制权限。这确保该账户可以访问和操作SQL Server所需的所有文件。 3. 根目录读权限...
sql server 2005用户权限设置深入分析
09-10
GRANT用于授予权限,DENY用于明确拒绝权限,即使用户通过其他方式获得了该权限,DENY也会优先生效。REVOKE则用于撤销已授予权限。 总的来说,理解并有效地设置SQL Server 2005中的用户权限数据库安全策略的基础...
浅析SQL Server授予了CREATE TABLE权限但是无法创建表
01-19
SQL Server中,如果我想授予一个用户klb拥有创建表的权限,但是我又不想授予数据库角色db_ddladmin,因为这样会扩大其权限,那么授予下面权限可行吗?如下所示: USE AdventureWorks2014; GO GRANT CREATE ...
内网权限分析
最新发布
Y22Lee的博客
07-14 2294
并不是说System比Administrator权限大,这两个用户的区别是Administrator是系统内置的管理员用户,一般平时安装、运行程序、修改系统设置等都是以这个权限身份运行的,System权限是系统本身的权限,比如任务管理器里面的winlogon.exe、svchost.exe、alg.exe这些进程等等,另外,注册表里面某些地方只有系统自己可以访问,Administrator用户也不能访问!但需要明确的是,它们仍然是两个不同的概念,"System"账户不是专门为中的机器账户而创建的;
WinServer 2012 R2 AD 组策略 将用户加入本地管理员组
热门推荐
一直被模仿,从未被超越
10-08 1万+
需求:用户shihua.ma添加入到本地管理员组 先查看本地管理员组 net localgroup administrators 通过以上得知,shihua.ma这个用户不在本地管理员组。下面介绍如何将用户自动加入到本地管理员组 一、服务器设置 1、工具 → 组策略管理 → → Default Domain Policy → 右键编辑 2、计算机配置 → 首选项 → 本地用户和组 → 右键 新建 本地组 3、操作选项卡:更新,组名选项卡:Administrators(.
3种用组策略将帐号加入本地管理员组的方法
Galdys的专栏
06-16 1万+
台湾女同事问了我2次当前系统帐号是怎么在第一次登录时,自动加入客户端本地管理员组的?我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本,结果系统的前任同事找到了答案--GPO的用户策略(确切讲是用户首选项),SIGN!   今天琢磨了一下,采用下列3种方法之一即可实现: 1、对于WIN2003控制器(DC)环境,使用计算机策略的“受限制的组”  
渗透基础知识(四)之
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-04 1734
内,使用组的概念管理用户。当为组设置权限时,组内所有的用户都会自动设置权限,因此就不需要单独为某个用户设置权限了。账户也都有一个唯一的安全标识符(security identifier,SID)。
相关基础知识
天在等我,菜鸟想飞
12-30 7727
基础知识 工作组(Work Group) 工作组是局网中的一个概念,由许多在同一物理地点,而且被相同的局网连接起来的用户组成的小组,也可以是遍布一个机构的,但却被同一网络连接的用户构成的逻辑小组。工作组是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,加入工作组是为了区分用户计算机在网络中的类别,如果用户有工作组的话,在管理上会方便很多,可以共享/使用打印机和协和工作,很多小企业都是用这种方法来管理电脑,共享文件。 工作组环境中的登录验证过程:工作组网络也称为“对等式”的网
控制器组策略:用户加入,默认加入本地管理员组
迷逝
03-15 8609
计算机加入控制器默认是本地user组权限,但是在有些场景比如:研发、财务、领导,需要管理员权限安装一些插件和软件。所以我们必须给这些用户给管理员权限。接下来我们利用组策略让这些用户加入自动获得管理员权限。 新建策略并给其命名 策略配置 右键点击“编辑”,进入到“组策略管理编辑器”—用户配置—首选项—控制面板设置—本地用户和组 点击右键新建“本地组” 刷新组策略: update /force ...
sqlserver2000账户授予所有的权限_别人家的SaaS为啥就是好用——权限体系设计实战分析...
weixin_39940253的博客
12-05 122
本文主要介绍B端产品中权限体系的设计模式,并赋予实际案例展示。一、权限体系简介权限管理是一个几乎所有大中型B端系统的都会涉及的一个重要组成部分,主要目的是对整个后台管理系统进行权限的控制,而针对的对象是员工,避免因权限控制缺失或操作不当引发的风险问题,如操作错误,数据泄露等问题。抽象来看权限体系可以分为如下两类:功能权限与数据权限两部分: 功能权限:指的是在系统中的一系列操作。常见的如:删除,编辑...
账号创建、组创建,账号加入组,客户端登陆账号
weixin_49861340的博客
09-15 1万+
一、账号创建、组创建和账号加入组详细步骤 1.在服务器打开win菜单,找到AD用户和计算机 2.右键点击服务器-新建-组 3.输入组名,默认全局和安全组,点击确定创建成功 4.重复前两个步骤新建用户,输入姓、名、用户登录名,其余默认点击下一步,输入登录密码(密码必须为大写字母+小写字母+数字+符号的形式,否则格式不对创建失败)勾选密码永不过期点击下一步创建成功 5.创建成功后,注意用户登录账号为:输入的登录名+@+根名 6,将账号...
domain admin管理员
weixin_33739523的博客
03-25 2543
当计算机加入到后,默认将"Domain Admins"组赋予了本地系统管理员的权限。也就是说,在计算机添加到,成为的成员主机的过程中,系统将会自动把"Domain Admins"组添加到本地的Administrators组中。因此,只要是Domain Admins组的成员均可访问本地计算机,而且具备"完全控制"的权限。为了加强计算机的安全,对于敏感的计算机,建议将Domain Admins...
SQL Server 2000安全教程:用户与权限管理
"SQL Server 2000教程第五章 - 用户与权限管理" 在SQL Server 2000中,用户与权限管理是确保数据库安全的关键环节。这一章主要介绍了如何构建一个坚固的安全系统,控制数据库的访问权限,以及如何管理用户、账户、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值