域是一个安全边界,是工作组的升级版,在域内的计算机可以共享资源
域名是Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。域名是由一串用点分隔的名字组成的,通常包含组织名,而且始终包括两到三个字母的后缀,以指明组织的类型或该域所在的国家或地区。例如:www.baidu.com
域名服务器 - DNS
DNS 用于将 域名解析为 IP地址,还负责DNS资源的记录
在域环境网络中,DNS起到的不仅仅是一个域名解析的作用,更主要的是DNS服务器起到一个 资源定位 的作用。在实际中往往通过 DNS服务器 去定位 域控制器、服务器 等其他计算机、网络服务器等。所以域的名字就是DNS域的名字。
在内网渗透中,大都是通过 DNS服务器 来定位 域控制器,因为DNS服务器通常和域控制器在同一台主机。
现在就可以把 定位域控的问题转化为 定位DNS服务器的问题
域内组的概念
1. 域本地组
常常用于多域用户访问单域资源(多个域访问另一个域)。域本地组不能加入其他组中,域本地组往往只负责授予其他域中组用户的访问权限,其它权限需要在全局组或通用组中派指。
2. 全局组
常常用于单域用户访问多域资源。全局组内只能添加本域的用户,全局组可以添加到其他域中的通用组或域本地组内,不能添加到其它域的全局组内,但是可以添加到本域内的其他全局组内。
3. 通用组
通用组的成员来自整个域森林中任何域的用户账号、全局组和其他通用组,可以在整个域森林的任何域中派指权限,可以嵌套在其他组中,非常适合在域森林内的跨域访问中使用。
通用组的成员不是保存在各自的域控制器中,而是保存在全局编录中,任何变化都会导致全林复制
域策略
A:用户账户(Account)
G:全局组(Global Group)
DL:域本地组(Domain Local Group)
U:通用组(Universal Group)
P:资源权限(Permission)
A-G-DL-P
问:现在有两个域,A域内的用户想要访问B域内的资源,应该怎么设置?
在A域内设置全局组并添加用户,在B域内设置域本地组,将A域内的全局组加入B域中的域本地组,就可以访问B域中的资源。此后A域管理员就可以管理域中的用户,B域管理员可以管理相应的权限
思路:
- 首先明确需求,A域访问B域的资源
- 因为域本地组负责本地权限的授予,所有要在B域设置域本地组
- 又因为全局组可以添加到域内其他全局组,或其他域的通用组或域本地组
- 所以,要将A域的全局组添加到B域的域本地组
- 所以A域中的账号就会被授予B域中域本地组对应的权限
A-G-G-DL-P
此策略的原则为:将不同的用户加入全局组,然后将不同的全局组加入另一个全局组,最后将整个全局组加入域本地组,授予对应的权限
A-G-U-DL-P
此策略的原则为:将不同的用户加入全局组(在本域),然后将不同的全局组加入通用组(在本林),最后将通用组加入域本地组,授予对应的权限
2179
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
