域与域权限判断
1 域控基础
1.1 活动目录
活动目录(Active Directory,AD)是指域环境中提供目录服务的组件。
- 目录用于存储有关网络对象(例如用户、组、计算机、共享资源、打印机和联系人等)的信息,目录服务是指帮助用户快速、准确地从目录中找到其所需要的的信息的服务。
- 如果把企业的内网看成一本字典,那么内网里的资源就是字典里的内容,活动目录就相当于字典的索引。
活动目录的主要功能
1、帐号集中管理:所有帐号均存储在服务器中,以便执行命令和重置密码等。
2、软件集中管理:统一推送软件、安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择需要安装的软件。
3、环境集中管理:统一客户端桌面、IE、TCP/IP协议等设置。
4、增强安全性:统一部署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一制定用户密码策略等。可以监控网路,对资料进行统一管理。
5、更可靠,更短的宕机时间:例如,利用活动目录控制用户访问权限,利用集群、负载均衡等技术对文件服务器进行容灾设置。网络更可靠,宕机时间更短。
1.2 域中的计算机分类
域控制器:域控制器用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。
成员服务器:成员服务器是指安装了服务器操作系统并加入了域、但是没装活动目录(AD)的计算机,其主要任务是提供网络资源。
客户机:域中的计算机可以是安装了其他操作系统的计算机。用户利用这些计算机和域中的账户就可以登录域。
独立服务器:独立服务器和域没有关系。独立服务器可以创建工作组、与网络中的其他计算机共享资源,但不能使用活动目录提供的任何服务。
1.3 域内权限解读
-
域本地组:多域用户访问单域资源,可以从任何域添加用户账号、通用组和全局组,但只能在其所在域内指派权限;
-
全局组:单域用户访问多域资源(必须是同一哥域中的用户),只能在创建该全局组的域中添加用户和全局组。
-
通用组:通用组成员来自域森林中任何域的用户账号、全局组合其他通用组,可以在该域森林的任何域中指派权限,可以嵌套在其他组中,非常适合在域森林内的跨域访问中使用。
-
A-G-DL-P策略:
A-G-DL-P策略是指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
- A表示用户账号(Account);
- G表示全局组(Global Group);
- U表示通用组(Universal Group);
- DL表示域本地组(Domain Local Group);
- P表示资源权限(Permission,许可);
在此策略形成后,当需要给一个用户添加某个权限时。只需要把这个用户添加到某个本地域组中就可以了
-
几个比较重要的域本地组权限:
- 管理员组( Administrator);
- 远程登录组 (Remote Desktop Users);
- 域管理员组( Domain Admins);
- 域用户组( Domain Usrs);
2 查询当前域权限
2.1 获取当前用户与域 SID
whoami /all
2.2 查询指定用户的详细信息
查询本地用户详细信息
net user 2008r2
查询域用户详细信息
net user test01 /domain
2.3 判断是否存在域
-
ipconfig /all
-
systeminfo
-
net config workstation
2.4 判断主域
net time /domain
会有以下三种情况:
-
存在域,当前用户不是域用户
-
存在域,且当前用户是域用户
-
当前网络环境为工作组,不存在域
2.4.1 判断域控制器和DNS 服务器是否在同一服务器上
nslookup test.lab
