1、工作組
將不同的計算機按功能分別列入不同的工作組,例如技術部的計算機都列入“技術部”工作組、行政部的計算機都列入“行政部”的工作組。在“網絡”里雙擊該部門的工作組名,就可以看到該部門的所有計算機了。
加入或創建工作組的方法:(若要改變工作組,直接改工作組名字就可以了)
如果輸入的工作組名稱在網絡中不存在,那么就相當於創建了一個工作組。在同一個工作組內,計算機可以互相訪問,所有計算機都是對等的(沒有客戶機和服務機之分)
工作組環境中的每台計算機都有自己的“本機安全賬戶數據庫”,稱為SAM數據庫。這個SAM數據庫是干什么用的呢?其實就是平時我們登錄電腦時,當我們輸入賬戶和密碼后,此時就會去這個SAM數據庫驗證,如果我們輸入的賬戶存在SAM數據庫中,同時密碼也正確,SAM數據庫就會通知系統讓我們登錄。而這個SAM數據庫默認就存儲在C:/WINDOWS/system32/config文件夾中,這便是工作組環境中的登錄驗證過程。
2、域
域(Domain)是一個有安全邊界的計算機集合,兩個域中,一個域中的用戶無法訪問另一個域的資源,安全管理控制機制更加嚴格。用戶想要訪問域內的資源,必須以合法的身份登錄域。
域控制器(Domain Controller,DC)是域中的一台類似管理服務器的計算機,負責所有連入的計算機和用戶的驗證工作。域內的計算機如果想互相訪問,都要經過域控制器的審核。域控制器中存在由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的數據庫,所有的權限身份驗證都在域控制器上進行。
域控制器是活動目錄的存儲地方,也就是說活動目錄存儲在域控制器內。安裝了活動目錄的計算機就稱為域控制器,其實在你第一次安裝活動目錄的時候,你安裝活動目錄的那台計算機就成為了域控制器。
域是邏輯組織形式,它能夠對網絡中的資源進行統一管理,就像工作組環境對網絡進行分散管理一樣,要想實現域,必須在一台計算機上安裝活動目錄才能實現,而安裝了活動目錄的計算機就稱為域控制器(DC)。
域一般有這些環境:
①單域
通常地理位置固定的小型公司,建立一個域就可以滿足需求。一般至少要有兩台域服務器,一個DC和一個備份DC,避免癱瘓。
②父域和子域
第一個域稱為父域,各分部的域稱為該域的子域。子域只能使用父域的名字作為后綴,例如:
父域:abc.com 子域:asia.abc.com
父域:asia.abc.com 子域:cn.asia.abc.com
③域樹
域樹(Tree)是多個域通過建立信任關系組成的集合,在沒有建立信任關系的情況下,一個域管理員只能管理本域,不能訪問或者管理其他域。
④域森林
域森林(Forest)是多個域樹通過建立信任關系組成的集合。
⑤域名服務器
域名服務器(Domain Name Server,DNS)是用於實現域名和IP地址轉換的服務器。因為域中的計算機是使用DNS來定位域控制器、服務器及其他計算機、網絡服務的,所以域的名字就是DNS域的名字,在內網滲透測試中,大都是通過尋找DNS服務器來確定域控制器的位置的(DNS服務器和域控制器通常配置在同一台機器上)
3、活動目錄
活動目錄(Active Directory,AD)是指域環境中提供目錄服務的組件。目錄用於存儲有關網絡對象的信息。活動目錄存儲的是網絡中所有資源的快捷方式,用戶可以通過尋找快捷方式來定位資源。
活動目錄的邏輯結構包括組織單元(OU)、域、域樹、域森林。
主要提供賬號集中管理、軟件集中管理、環境集中管理、增強安全性、更可靠及更短的宕機時間功能
4、安全域的划分
划分安全域的目的是將一組安全等級相同的計算機划入同一個網段,使網絡風險最小化。
在一個由路由器連接的內網中,可以將網絡划分為三個區域:安全級別最高的內網;安全級別中等的DMZ;安全級別最低的外網(Internet)
5、域中計算機的分類
域控制器、成員服務器、客戶機、獨立服務器