AD简介
AD是Active Directory的缩写,译为活动目录,相当于是一个数据库系统,里面存储了域内的相关信息,比如计算机名称、计算机开关机时间、计算机登录注销时间、域用户名称、域用户全名、域用户的账户配置信息等等。
AD可提供身份验证、策略等其它服务,这种数据库可通过LDAP Browser这类的工具进行访问。
LDAP简介
LDAP是一种协议,叫轻量级目录访问协议,查询、修改AD的时候用到。
AD-增
域管要向AD中添加数据,可打开AD用户和计算机,在域上右键新建即可。
AD-删改
除了增加数据,也可以对AD进行删改的操作,利用到了AD服务接口,即ADSI(Active Directory Service Interface),系统自带了相关的工具,为adsiedit.msc。
运行adsiedit.msc进行打开,在操作处选择连接到:
起名名称进行连接:
随后就可以对相关内容进行删除和修改:
AD-查
也有很多类似adsiedit的工具,本质都是调用了adsi接口,相关工具可参考如下连接:
https://ldap.com/ldap-tools/例如ldap admin,操作方法和adsiedit类似,输入相关配置进行连接:
第三方工具操作上可能会比自带的更方便点,功能也相对多点,上面AD的增删改查是分开记录的,但基本上现在第三方工具对于CURD操作都会支持。
AD-组
AD分了很多不同的组,例如通讯组、安全组、全局组、通用组等等,按照网络环境可分为本地组和域组,根据是否可以分配权限,又分为通讯组和安全组。
组分配规则:1,权限时应该针对用户组,尽量避免对用户单独分配权限的情况。2,删除用户前,建议先禁用该账户一段时间,经过一两个月真的不需要了再进行删除。3,用户组权限分配遵循AGDLP策略原则。
AD-通讯组
通讯组:该组没有SID安全标识符,不能分配权限。它作用是将许多对象组织到一起,集中寻址实现统一管理,例如我们发邮件,给某某部门或者某某组发,那么该部门或该组下的所有成员就都会收到该邮件。
AD-安全组
安全组:安全组有SID,主要作用是用于权限分配,从而实现权限集中化管理。
安全组侧重于安全和分配,根据资源访问权限的大小,又可以细分为域本地组、全局组、和通用组。域本地组只能在该组所属域中使用,全局组在整个AD林中使用,通用组可在整个AD林中用。详情如下:
1,域本地组
权限范围:域本地组只能在创建该组的当前域中使用,只可以访问当前域中资源。
成员范围:成员可来自任何域中用户或任何组。
存储范围:只在本地域中所有DC存储复制
2,全局组
权限范围:可以在整个AD林中使用,可以访问整个AD林中的资源。
成员范围:成员只能来自创建该组的域中的用户和全局组。
可引用范围:同域中的全局组、林中的通用组。
存储范围:只在本地域中所有DC存储复制
3,通用组
权限范围:可以在整个AD林中使用,可以访问整个AD林中的资源。
成员范围:所有域的用户、全局组和通用组。
可引用范围:所有域中的全局组、通用组。
存储范围:通用组存储在全局编录域控制器中,从而在整个林中复制。
AGDLP
AGDLP是一种策略,即将用户账号添加到全局组中,将全局组添加到本地组中,然后为域本地组分配资源权限。
A:Account表示用户账号。
G:Global Group表示全局组。
U:Universal Group表示通用组。
D-L:Domain Local Group:表示域本地组。
P:Permission表示资源权限。
有了AGDLP策略,就可以把琐碎的权限管理操作简单化。
例子:例如我们有两个域afa和bfb,afa有两个研发人员和bfb的三个研发,都需要访问bfb中的core共享文件夹,这时,我们可以在bfb中建一个DL域本地组,因为DL成员可以来自所有的域,然后把这5个研发人员都加入到DL中,并把core访问权限赋给DL,但有个弊端是,因为DL在bfb域中,所有管理权也在bfb域,当afa域想再添加研发人员时,就得通知bfb的管理员,进行人员更改。
改进:可以在afa和bfb各自建立一个全局组G,然后在bfb中建立一个DL,把这两个G都加入到bfb域的DL中,再把core访问权赋给DL,这时两个G组就都能访问core了,组合嵌套类似于继承的关系,两个G分布在afa和bfb中,即afa和bfb的管理员都可以管理自己的G,后续再有人员变动,各自管理员操作各自的就可以了。
域内置组
当部署好域控时,系统会自己生成一些组,即域内置的组,系统对这些组定义了相关的权限。
下面列一下相对重要的内置的域本地组说明:
1,administrators:管理员组,管理员对计算机和域有不受限制的完全访问权,可以执行整个域的管理任务,该组成员可更改Enterprise Admins、Schema Admins、Domain Admins组的成员关系。
2,Remote Desktop Users:远程桌面组,提供远程访问系统的域用户组,不能重命名、删除和移动,该组被添加到默认域控制器策略GPO中的“通过终端服务允许登录”,为DC提供了潜在的远程登录功能。
3,Print Operators:打印操作员组,被授予在域控制器上管理打印机和加载、卸载设备驱动程序以及管理AD中的打印机对象的功能。默认情况下,该组可以登录到域控制器并关闭它们,该组不能直接修改AD管理组。
4,Account Operators:账号操作员组,该组成员可以管理该域内的用户和组的权限,可在本地登录域控。
5,Backup Operators:备份操作员组,被授予在域控制器(通过默认域控制器策略GPO分配)上登录,关闭和执行备份、恢复操作的功能。此组不能直接修改AD管理组,尽管关联的权限提供了升级到AD管理员的路径。备份操作员能够安排可能提供升级路径的任务,他们还可以清除域控制器上的事件日志。
下面再列一下相对重要的内置组中的全局组和通用组说明:
1,Domain Admins:域管理员组,对Active Directory域和所有计算机,包括工作站、服务器和域控具有完全管理员权限。当计算机加入AD时,该组会自动加入到该计算机系统的Administrators组中,继承Administrators的权限。
2,Enterprise Admins:企业系统管理组,是林根域中的一个组,对AD林中的每个域都拥有完整的AD权限,通过在林中的每个域中的Administrators组的成员资格授予此权限。
3,Schema Admins:架构管理员组,林根域中的一个组,可以修改AD林的模式。
4,Domain Users:域用户组,包含所有域内的用户,域用户组默认是域本地组Users组的成员。
5,Domain Computers:域计算机组,加入到域中的所有工作站和服务器或PC。
6,Domain Controllers:域控制器组,域中所有域控制器。
DA和EA的区别
Domain Admins是域管理员组,Enterprise Admins是企业系统管理组。区别如下:
它们权限范围不通,EA组是仅出现在林根域控制器中的组,该组的成员对林中的所有域具有完全的管理控制权。DA组是存在于每个域中的组,该组的成员对域具有完全的管理控制权。
组织单位OU和组Group
组上面了解了,是对权限进行划分,方便管理,而组织单位是对域内用户进行划分的,这样结构会更清晰,也方便管理,例如xx公司,下面又分了xx地区分公司,分公司下又分了xx部分,xx部门下又分xx组,xx组下是相关成员,这种结构化的划分,为了更方便对人员进行管理,就可以理解为组织单位。
示例,例如我们在afa域下创建组织单位:
起个名字,确认后,可以继续创建下级的组织单位,方便管理和查看:
大概类似于下面这样:
完。
原文始发于微信公众号(aFa攻防实验室):AD活动目录介绍
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论