注:本笔记来自温晓飞老师的网络安全课程
第十二章:域
第一章:虚拟化架构与系统部署
第二章:IP地址详解
第三章:进制转换
第四章:DOS基本命令与批处理
第五章:用户与组管理
第六章:服务器远程管理
第七章:NTFS安全权限
第八章:文件共享服务器
第九章:DNS部署与安全
第十章:DHCP部署与安全
第十一章:WEB服务器和FTP服务器
第十二章:域
第十三章:PKI
第十四章:渗透简单测试流程
第十五章:扫描与爆破
第十六章:OSI与TCP-IP5层协议
第十七章:物理层(physical layer)
未完待续
文章目录
一、英文
Domain
二、内网环境:
1、工作组:默认模式,人人平等,不方面管理
2、域:人人不平等,集中管理,统一管理(由AD决定)
三、域的特点
集中/统一管理
注:企业越大,对域的依赖性越高
四、域的组成
1、域控制器(最高权限): DC(Domain Controller)
2、普通成员:成员机
五、域的部署
1、安装域控制器–就生成了域环境
2、安装了活动目录–就生成了域控制器
3、活动目录:Active Directory = AD
六、活动目录(域的核心)
1、AD
2、特点:集中管理/统一管理
七、组策略GPO
1、group policy
2、原理
GPO访问活动目录,查看AD里面的要求,AD将要求下发至GPO,GPO自动执行。
八、部署安装活动目录
1、开启2008虚拟机,并桥接到vmnet2
2、配置静态IP地址10.1.1.1/24
3、修改计算机名(方便公司记忆)
4、开始-运行-输入dcpromo,安装活动目录,弹出向导。
不勾选高级模式安装
勾选DNS(在给服务器配ip的时候不要配DNS。)
新林中新建域
域的FQDN(qf.com)
林功能级别设置为2003(意味着林里面的域控制器不能低于这个版本)
域功能级别设置为2008(意味着域里面的域控制器不能低于这个版本)
无法创建该DNS服务器委派的报错属于正常,点击是
数据库/日志文件/SYSVOL文件夹路径无需更改,也不能更改
设置目录服务还原密码666.com
勾选安装后重启
4、在DC上登录域qf\administrator,DC的本地管理员升级为域管理员
5、验证AD是否安装成功:
1-计算机右键属性-所属域
2-DNS服务器中是否自动创建qf.com区域文件
3-自动注册DC的域名解析记录
4-开始-管理工具-AD 用户和计算机
computer:普通域成员机列表
Domain Controller:DC列表
users:域账号
九、PC加入域
1.配置IP,并指DNS
2.计算机右键属性–更改–加入qf.com域
(注:登录的账号最好是管理员账号,2003和2008格式为qf.com\administrator,7及以上版本格式为administrator)
3.重启加入域后,成功使用域用户登录成员机
4.新建域用户的时候将用户新建到users里面
十、常见小问题
1、加入域不成功
- 网络是不是不通!
- 解析是否能成功解析(有没有指DNS)
主要特征:DNS管理器里的正向查找区域的域名文件夹里该主机显示与父文件夹相同- 是否为DNS缓存问题
2、登入域不成功
如XP,已勾选登录域QF,不用再写qf\xiaofei.wen
3、获得自己固定电脑的所有权限
建议将域用户加入到普通成员机的本地管理员组中
本地管理员组:administrators
域管理员组:Domain Admins
十一、OU:组织单位(Organizational Unit)
作用:用于归类域资源(域用户、域计算机、域组)
位置:活动目录(AD)下面的域
十二、组策略:Group Policy = GPO
1、组策略的创建
(1)作用
通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。
重点:组策略在域中,是基于OU来下发的!!
(2)位置
开始—管理工具—组策略管理
注:Default Domain Policy下的组策略表是对整个域起作用的
2、组策略的编辑
(1)组策略在域中下发后,用户的应用顺序是:L(本地)S(站点)D(域)OU
(2)在应用过程中,如果出现冲突,最后应用的生效!
正常情况下:LSDOU顺序
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU用户结果:桌面:aa 运行:不删除
下级OU设置了阻止继承:
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU用户结果: 桌面:未配置 运行:不删除
上级设置了强制:
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU的用户结果: 桌面:aa 运行:删除
注意:当上级强制和下级阻止继承同时设置,强制生效!
GPO练习:
1.在董事会部门设置GPO,并要求强制桌面背景,并验证
2.在董事会部门上级的ou上设置GPO,也进行强制桌面背景,并验证
3.在董事会部门上级的ou上设置GPO,强制删除运行菜单,并验证
4.练习阻止继承,并验证
5.练习向下强制,并验证
6.实现董事会的计算机无须按ctrl+alt+delete,并验证
3、脚本设置
(1)作用
将脚本放在里面之后员工打开电脑会自动执行脚本。
(2)位置
开始—管理工具—组策略管理—对需要管理的组策略进行选中—右击选择编辑—计算机配置/用户配置—策略—windows设置—脚本
(3)安装方式
将脚本放在:脚本—注销—添加—浏览
里面
4、无需按Ctrl+alt+del策略设置
(1)作用
开机之后无需按Ctrl+alt+del而直接进入桌面
(2)位置
开始—管理工具—组策略管理—对需要管理的组策略进行选中—右击选择编辑—计算机配置/用户配置—策略—windows设置—安全设置—本地策略—安全选项