域本地组
成员范围:林中所有的用户、全局组、通用组、本域的域本地组。
作用范围:本域。
用途:给域内的资源设置访问权限。
举例:test域有一台打印机P,test域中的用户A和B需要有访问权,新建域本地组DL,给域本地组DL赋予访问打印机P的权限,把用户A和B加到域本地组DL即可。
全局组
成员范围:本域内所有的用户和全局组。
作用范围:全林。
用途:将用户集中到一起,再分配权限(全局组本身是没有权限的,需要把全局组加到域本地组或通用组)。
举例:test域有一台打印机P,hack域中的用户A和B需要有访问权,在test域新建域本地组DL,给域本地组DL赋予访问打印机P的权限,在hack域新建全局组G,把用户A和B加到全局组G,再把全局组G加到test域的域本地组DL即可。
通用组
成员范围:林中所有的用户、全局组、通用组。
作用范围:全林。
用途:跨域分配权限。
举例:test域有一台打印机P,hack域中的用户A和B和dev域中的用户C和D需要有访问权,在test域新建域本地组DL和通用组U,给域本地组DL赋予访问打印机P的权限,在hack域新建全局组G1,再dev域新建全局组G2,把用户A和B加到全局组G1,把用户C和D加到全局组G2,再把全局组G1和G2加到test域通用组U,最后把通用组U加入域本地组DL即可。
通用组更适合比较复杂的跨域权限管理,向上面简单的例子,直接把全局组加到域本地组就可以了。
AGDLP策略
A表示用户账户
G表示全局组
DL表示域本地组
P表示资源访问权限
A-G-DL-P策略就是把用户账户添加到全局组,把全局组添加到域本地组,给域本地组赋予资源访问权限。
总结
人生成功得具备“四行”:1、自己得行;2、得有人说你行;3、说你行的人得行;4、身体得行。
原文始发于微信公众号(AlertSec):内网渗透-域内权限划分
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论