内网渗透 | 域内权限解读

域本地组

多域用户访问单域资源（访问同一个域）

可以从任何域添加用户账户、通用组和全局组，但只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。

全局组

单域用户访问多域资源（必须是一个域里面的用户）

只能在创建该全局组的域中添加用户和全局组。可以在域森林的任何域内指派权限。全局组可以嵌套在其他组中。

可以将某个全局组添加到同一个域的另一个全局组中，或者添加到其他域的通用组和域本地组中(不能添加到不同域的全局组中，全局组只能在创建它的域中添加用户和组)。虽然可以通过全局组授予用户访问任何域内资源的权限，但一般不直接用它来进行权限管理。

全局组和域本地组的关系，与域用户账号和本地账号的关系类似。域用户账号可以在全局使用，即在本域和其他关系的其他域中都可以使用，而本地账号只能在本机中使用。例如：将用户张三(Z3)添加到域本地组 Administrators 中，并不能使Z3对非DC的域成员计算机拥有任何特权。但若将Z3添加到全局组Domain Admins中，用户张三就成为了域管理员了(可以在全局使用，对域成员计算机拥有特权)。

通用组

多域用户访问多域资源

通用组的成员可包括域树或域林中任何域的用户账号、全局组和其他通用组，可以在该域森林的任何域中指派权限，可以嵌套在其他组中，非常适合在域森林内的跨域访问中使用。不过，通用组的成员不是保存在各自的域控制器中，而是保存在全局编录(GC)中年的，任何变化都会导致全林复制。

全局编录通常用于存储一些不经常发生变化的信息。由于用户账号信息是经常变化的，建议不要直接将用户账号添加到通用组中，而要先将用户账号添加到全局组中，再把这些相对稳定的全局组添加到通用组中。

简单一句话概括：

• 域本地组：来自全林，作用于本域

• 全局组：来自本域，作用于全林

• 通用组：来自全林，作用于全林

A-G-DL-P策略

A-G-DL-P策略是指将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

• A 表示用户账号(Account)

• G 表示全局组(Global Group)

• U 表示通用组(Universal Group)

• DL 表示域本地组(Domain Local Group)

• P 表示资源权限(Permission)

按照A-G-DL-P策略对用户进行组织和管理是非常容易的。在A-G-DL-P策略形成以后，当需要给一个用户添加某个权限时，只要把这个用户添加到某个域本地组中就行了。

内置组

在安装域控制器时，系统会自动生成一些组，称为内置组。内置组定义了一些常用的权限。通过将用户添加到内置组中可以使用户获得相应的权限。

活动目录控制台窗口的 Builtin 和 Users 组织单元中的组就是内置组。

• 内置的域本地组在 Builtin 组织单元中。

• 内置的全局组合通用组在 Users 组织单元中。 

几个比较重要的域本地组

• 管理员组(Administrators)：该组的成员可以不受限制地存取计算机/域内的资源。它不仅是最具权利的一个组，也是在活动目录和域控制器中默认具有管理员权限的组。该组的成员可以更改 Enterprise Admins、Schema Admins 和 Domain Admins 组的成员关系，是域森林中年强大的服务管理组。

• 远程登录组(Remote Desktop Users)：该组的成员具有远程登录权限。

• 打印机操作员组(Print Operators)：该组的成员可以管理网络打印机，包括建立，管理及删除网络打印机，并可以在本地登录和关闭域控制器。

• 账号操作员组(Account Operators)：该组的成员可以创建和管理该域中的用户和组并为其设置权限，也可以在本地登录域控制器。但是，不能更改属于Administrators或Domain Admins组的账号，也不能更改这些组。在默认情况下，该组中没有成员。

• 服务器操作员组(Server Operators)：该组的成员可以管理域服务器，其权限包括建立、管理、删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器、变更服务器的系统时间、关闭域控制器等。在默认情况下，该组中没有成员。

• 备份操作员组(Backup Operators)：该组的成员可以在域控制器中执行备份和还原操作，并可以在本地登录和关闭域控制器。在默认情况下，该组中没有成员。

几个比较重要的全局组、通用组的权限

• 域管理员组(Domain Admins)：该组的成员在所有加入域的服务器、域控制器和活动目录中均默认拥有完整的管理员权限。因为该组会被添加到自己所在域的Administrators组中，因为可以继承Administrators组的所有权限。同时，该组默认会被添加到每台域成员计算机的本地Administrators组中。这样，Domain Admins组就获得了域中所有计算机的所有权。如果希望某用户成为域系统管理员，建议将该用户添加到Domain Admins组中，而不要直接将该用户添加到Administrators组中。

• 企业系统管理员组(Enterprise Admins)：该组是域森林根域中的一个组。该组在域森林中的每个域内都是Administrators组的成员，因此对所有域控制器都有完全访问权。

• 域用户组(Domain Users)：该组是所有的域成员，在默认情况下，任何由我们建立的用户账号都属于Domain Users组，而任何由我们建立的计算机账号都属于Domain Computers组。因此，如果想让所有的账号都获得某种资源存取权限，可以将该权限指定给域用户组，或者让域用户组属于具有该权限的组。域用户组默认是内置域Users组的成员。

• 架构管理员组(Schema Admins)：该组是域森林根域中的一个组，可以修改活动目录和域森林的模式。该组是为活动目录和域控制器提供完整权限的域用户组，因此，该组成员的资格是非常重要的。