一、什么是域(Domain):
Windows域,是計算機網絡的一種形式,其中所有的用戶賬戶、計算機、打印機和其它安全主體都在位於稱為域控制器的一個或者多個中央計算機集群上的中央數據庫中注冊,身份驗證在域控制器上進行。
在Windows網絡操作系統中,域是安全邊界,域管理員只能管理域的內部,除非其它的域顯式地賦予它管理權限,才可以訪問或者管理其它的域。
每個域都有自己的安全策略以及與其它域的安全信任關系,如果企業網絡中計算機和用戶數量較多時,要實現高效管理,就需要Windows域。
域中計算機的分類:域控制器、成員服務器、客戶機、獨立服務器
二、什么是工作組(Work Group):
工作組是最常見最簡單最普通的資源管理模式,就是將不同的電腦按功能分別列入不同的組中,以方便管理。
工作組可以是一個由許多在同一物理地點,而且被相同的局域網連接起來的用戶組成的小組。相應地,一個工作組也可以是遍布一個機構的,但卻被同一網絡連接的用戶構成的邏輯小組。
域與工作組的區別:
1、創建方式不同,"工作組"可以由任何一個計算機的主人來創建,而"域"只能由服務器來創建。
2、安全機制不同,在"域"中有可以登錄該域的帳號,這些由域管理員來建立。在"工作組"中不存在組帳號,只有本機上的帳號和密碼。
3、登錄方式不同,在工作組方式下,計算機啟動后自動就在工作組中。登錄"域"是要提交"域用戶名"和"密碼",一旦登錄,便被賦予相應的權限。
三、域的幾種環境:
1、單域:
在一個地理位置固定的小公司,建立一個域通常就可以滿足需求。在一個域內,一般至少需要兩台域服務器,一台作為DC,一台作為備份DC。
2、父域和子域:
出於管理及其它需求,需要在網絡中划分多個域,第一個稱為父域,各分部的域稱為該域的子域。
3、域樹:
域樹是多個域通過建立信任關系組成的集合。一個域管理員只能管理本域,不能訪問或者管理其它域。如果兩個域之間需要互相訪問,則需要建立信任關系。信任關系是連接不同域的橋梁。域樹內的父域和子域,不但可以按照需要相互管理,還可以跨網絡分配文件和打印機等設備及資源,從而在不同的域之間實現網絡資源的共享和管理、通信及數據傳輸。
4、域森林:
域森林是指多個域樹通過建立信任關系的集合。
5、域名服務器:
DNS(Domain Name Server,域名服務器)是進行域名(domain name)和與之相對應的IP地址 (IP address)轉換的服務器。DNS中保存了一張域名(domain name)和與之相對應的IP地址 (IP address)的表,以解析消息的域名。在內網滲透測試中,大都是通過尋找DNS服務器來確定域控制器的位置(DNS服務器通常和域控制器配置在同一台機器上)
四、活動目錄:
活動目錄(Active Directory,AD)是指域環境中提供目錄服務的組件,活動目錄是微軟提供的統一管理基礎的平台,ISA、Exchange、SMS等都依賴這個平台。
主要提供以下功能:
- 賬號集中管理
- 軟件集中管理
- 環境集中管理
- 增強安全性
- 更可靠,更短的宕機時間
活動目錄和域控制器的區別:
域控制器就是安裝了活動目錄服務的一台計算機,域是包括與控制器在內的整個活動目錄的服務范圍。
只要你的服務器設置為域,就要用到活動目錄,所有的服務都是圍繞活動目錄展開的。
五、幾個比較重要的權限:
域本地組權限:
- 管理組權限(Administrators)
- 遠程登陸組(Remote Desktop Users)
- 打印機操作員組(Print Operators)
- 賬號操作員組(Account Operators)
- 服務器操作員組(Server Operators)
- 備份操作員組(Backup Operators)
全局組、通用組權限:
- 域管理員權限組(Domain Admins)
- 企業系統管理員權限組(Enterprise Admins)
- 架構管理員組(Schema Admins)
- 域用戶組(Domain Users)