前言
在前面的学习中 我们讲过当运维需要一些特殊的管理权限来对公司的网络进行管理时,我们不 建议直接对该用户赋予权限,而是设置个域用户组,对这个组配置权限,然后再将运维拉进这个组里面,这样组里面的运维就拥有了该组的权限。同样,如果我们需要对指定部门里面的用户进行统一管理,那我们便可以设置个类似于集合的东西,然后把该部门的用户拉进这个集合这样就可以对该部门里面的用户进行集中管理了,比如下发组策略等。本篇文章我们要讲的就是后者,而这个集合就是 OU。
什么是 OU
OU,即组织单位(Organization Unit),是一个容器对象,将域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位包含下列类型的对象:用户,计算机,工作组,打印机,安全策略以及其他组织单位 等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。在企业域 环境里面,我们经常可以看到按照部门划分的一个个 OU,如下图所示 :
OU 与容器的区别
组织单位(OU)是专用容器,与常规容器的区别在于管理员可以将组策略应用于 OU,然后系统将其下推到 OU 中的所有计算机,但是你不能将组策略应用于容器。这也是 OU 与容器主要的区别。需要注意的是Domain Computers是一个普通容器,而Domain Controllers是一个 OU,因此可以可以将组策略应该于Domain Controllers,而不可以将组策略应用于Domain Computers。注意这里所说的Domain Computers和Domain Controllers特指根域的,而不是User容器底下的那两个组:
OU 跟组的区别
组织单位跟组是两个完全不同的概念。OU 是管理对象的集合,而组是权限的集合。举个前面举过的例子,运维需要对公司的网络进行管理,需要一些特殊的管理权限,我们就可以设置个组,对这个组配置权限,然后再将运维拉进这个组里面,这样组里面的运维就拥有了该组的权限。又比如我们需要对财务部里面的用户进行统一管理,那我们便可以设置个 OU,然后把财务部的用户拉进这个 OU,这样就可以对财务部里面的用户进行集中管理,比如下发组策略等。说通俗点说,组是管理的集合,而 OU 是被管理的集合。
组织单位的创建
创建 OU
在域控制器的 “管理工具” —> “Active Directory 用户和计算机”,选中你的域名后 “右键” —> “新建” —> “组织单位”:
填入需要创建的组织单位的名称后点击确定:
如下图所示,成功创建了一个名为 “行政部” 的组织单位:
但此时新创建的 OU 里面没有任何管理对象。
向 OU 中添加对象
我们可以向新创建的 OU 中添加管理对象,比如用户,计算机,工作组,打印机等。选中你当创建的组织单位,然后 “右键” —> “新建”:
然后选择相应类型的对象即可。如下,我们向 “行政部” 这个组织单位中添加了一台计算机:
OU 的查询
在 Active Directory 中,所有的 OU 组织单位都是 organizationalUnit 类的实例:
所以我们可以用(objectClass=organizationalUnit)或者(objectCategory=organizationalUnit)来过滤查询 OU。
Adfind.exe -b dc=whoamianony,dc=org -f "(objectClass=organizationalUnit)" -dn
Adfind.exe -b dc=whoamianony,dc=org -f "(objectCategory=organizationalUnit)" -dn
如果要查询指定 OU 里面的账户,可以指定 BaseDN 为指定的 OU 就行,如下我们查询 “行政部” 里面的对象:
Adfind.exe -b "OU=行政部,DC=whoamianony,DC=org" -dn
OU 的委派
OU 组织单位的委派其实就是赋予某个域内用户对 OU 组织单位的某些管理权限。考虑这样一种需求,如果我们想允许某个用户把其他用户拉进某个 OU,而不赋予这个用户域管权限,那么我们可以在这个 OU 给这个用户委派一个添加成员的权限。下面演示一下委派过程。
选中 OU,“右键” —> “委派控制”:
然后进入 “控制委派向导”:
点击下一步添加一个或多个你想要委派控制的用户或组:
然后点击下一步选择你想要委派的任务即可:
本文始发于微信公众号(疯猫网络):内网渗透测试:OU 组织单位
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论