内网渗透|Windows域的管理

域的管理

域用户账户的管理

• 创建域用户账户

• 配置域用户账户属性

• 验证用户的身份

• 授权或拒绝对域资源的访问

组的管理

组的类型

• 安全组：安全组有安全标识（SID），能够给其授权访问本地资源或网络资源。即能授权访问资源，也可以利用其群发电子邮件

• 通讯组：通迅组没有安全标识（SID），不能授权其访问资源，只能用来群发电子邮件

组的作用域

• 本地域组：代表的是对某个资源的访问权限。只能授权其访问本域资源，其他域中的资源不能授权其访问。

• 全局组：创建全局组是为了合并工作职责相似的用户的账户，只能将本域的用户和组添加到全局组。在多域环境中不能合并其他域中的用户。

• 通用组：和全局组的作用一样，目的是根据用户的职责合并用户。与全局组不同的是，在多域环境中它能够合并其他域中的域用户帐户，比如可以把两个域中的经理帐户添加到一个通用组。

点击Users容器，然后在右边框中可对已存在的用户修改属性，可以修改组的属性，也可以右键，然后新建用户。

组织单位OU的管理

• OU的概念

• OU的应用

Active Directory 域内的资源是以对象(Object)的形式存在，例如用户、计算机都是对象，而对象是通过属性（Attribute)来描述其特征的，也就是对象本身是一些属性的集合

容器与组织单位

• 容器（Container）与对象相似，它有自己的名称，也是一些属性的集合，不过容器内可以包含其他对象（例如用户、计算机等对象)，还可以包含其他容器。

• 组织单位（Organization Units，OU)是一个比较特殊的容器，其中除了可以包含其他对象与组织单位之外，还有组策略（Group Policy）的功能。

默认容器和组织单位

• Builtin容器：Builtin容器是Active Driectory默认创建的第一个容器，主要用于保存域中本地安全组。

• Computers容器：Computers容器是Active Driectory默认创建的第2个容器，用于存放Windows Server 2008域内所有成员计算机的计算机账号。

• Domain Controllers组织单位：Domain Controllers是一个特殊的容器，主要用于保存当前域控制器下创建的所有子域和辅助域。

• Users容器：Users容器主要用于保存安装Active Driectory时系统自动创建的用户和登录到当前域控制器的所有用户账户。

组织单位的管理

OU的概念：OU是AD中的容器，可在其中存放用户、组、计算机和其他OU，而且可以设置组策略

• 创建OU：基于部门，如行政部、人事部；基于地理位置，如北京、上海；基于对象，如用户、计算机

• 删除OU：取消“防止对象被意外删除”

比如上图中的Student就是我们自己新建的组织单位OU，我们可以把相关的用户或主机加入到Student组织单位中，然后对该组织单位设置组策略，那么就可以对其内的所有用户或主机生效 

添加额外域控制器

在一个域中，一般域控服务器至少有2个或者以上。所以，我们得添加额外的域控服务器。在任何一台域控制器上都可以修改AD中的内容，每台域控制器上AD中的内容都是同步的

添加额外域控制器的条件

• 具有域管理员权限

• 计算机TCP/IP参数配置正确 IP、DNS服务器地址

• 操作系统版本必须受当前域功能级别支持

添加额外域控制器的步骤

• 查看当前域功能级别

• 将计算机加入到当前域

• 运行dcpromo命令安装活动目录

卸载域控服务器

运行 dcpromo 命令进行常规卸载，如果该域内还有其他域控制器，该域控制器会被降级为成员服务器，如果是域内最后一个域控制器，该域控制器会被降级为独立服务器。

卸载域控制器的注意事项

确认所有域控制器都处于联机状态，确认还有其他域控制器承担着“全局编录”角色，在“Active Directory站点和服务”控制台中，查看并手工转移“全局编录”角色

组策略应用

计算机配置成域控服务器后，或计算机加入一个域后，会发现本地的安全策略已经呈灰色的，配置不了了。在一个域中，通过在域控服务器上配置组策略，来对域中的主机或域中的用户去设置策略

组策略：Windows操作系统中的组策略是管理员为用户或计算机定义并控制程序、网络资源和操作系统行为的主要工具。通过使用组策略可以对计算机或者用户设置相应的策略

组策略的功能

• 账户策略的设置

• 本地策略的设置

• 脚本的设置

• 用户工作环境的设置

• 软件的安装与删除

• 限制软件运行

• 文件夹的重定向

• 限制访问可移动设备

组策略优点

减小管理成本，只需设置一次，相应的计算机或用户即可应用，减小用户单独配置错误的可能性，可以针对特定对象设置特定的策略

组策略对象

GPO （Group Policy Object）的概念：存储组策略的所有配置信息，AD中的一种特殊对象

默认GPO：默认域策略、默认域控制器策略

GPO链接：只能链接到站点、域、OU

组策略的应用规则

• 策略继承与阻止：下级容器可以继承或阻止应用其上级容器的GPO设置

• 策略累加与冲突：多个GPO设置可以累加或发生冲突被覆盖

• 策略强制生效：使下级容器强制执行其上级容器的GPO设置

• 筛选：阻止一个容器内的用户或计算机应用其GPO设置

策略继承与阻止

下级容器默认会继承来自上级容器的GPO ，子容器可以阻止继承上级容器的GPO ，右击容器→阻止继承

策略累加与冲突

如果多个组策略设置不冲突，则最终的有效策略是所有组策略设置的累加 如果多个组策略设置冲突，则后应用的组策略覆盖先应用的组策略

组策略应用顺序

组策略应用顺序：

• 首先应用本地组策略

• 如果有站点组策略，则应用

• 接着应用域策略

• 最后应用OU上的策略

• 如果同一个OU上链接了多个GPO，则按照链接顺序从高到低逐个应用

策略强制生效：强制生效是上级容器强制下级容器执行其GPO设置

筛选：筛选可以阻止一个GPO应用于容器内的特定计算机或用户 委派→权限设置

打开本地组策略：WIN+R键打开运行窗口，然后输入：gpedit.msc

打开组策略：管理工具-->组策略管理