.jpg)
1、工作組
工作組 work group 是最常見最簡單最普通的資源管理模式,就是將不同的電腦按功能分別列入不同的組中,以方便管理。
比如在一個(gè)網(wǎng)絡(luò)內(nèi),可能有成百上千臺(tái)工作電腦,如果這些電腦不進(jìn)行分組,都列在“網(wǎng)上鄰居”內(nèi),可想而知會(huì)有多么亂。
為了解決這一問題,windows 9x/NT/2000 引用了“工作組”這個(gè)概念,比如一所高校,會(huì)分為諸如數(shù)學(xué)系、中文系之類的,然后數(shù)學(xué)系的電腦全都列入數(shù)學(xué)系的工作組中,中文系的電腦全部都列入到中文系的工作組中……如果你要訪問某個(gè)系別的資源,就在“網(wǎng)上鄰居”里找到那個(gè)系的工作組名,雙擊就可以看到那個(gè)系別的電腦了。
在工作組中所有的計(jì)算機(jī)都是平等的,沒有管理與被管理之分,因此工作組網(wǎng)絡(luò)也稱為對(duì)等網(wǎng)絡(luò)。
所以對(duì)于管理者而言,工作組的管理方式有時(shí)會(huì)不太便于管理,這時(shí)候就需要了解域的概念了。
2、域域 Domain
可以簡單的理解成工作組的升級(jí)版,如果說工作組是“免費(fèi)旅店”那么域就是“星級(jí)賓館”;工作組可以隨便進(jìn)進(jìn)出出,而域則有嚴(yán)格的控制。
在“域”模式下,至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作,相當(dāng)于一個(gè)單位的門衛(wèi)一樣,稱為域控制器。
域控制器 Domain Controller
簡寫為 DC,域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。
當(dāng)電腦連入網(wǎng)絡(luò)時(shí),域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的,用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確的,那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄。不能登錄,用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源,這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。
正是因?yàn)橛蚩仄鸬搅艘粋€(gè)身份驗(yàn)證的作用,因此站在滲透的角度來說,拿下域控是至關(guān)重要的。拿下了域控,就相當(dāng)于拿到了整個(gè)域內(nèi)所有計(jì)算機(jī)的賬號(hào)和密碼。
而要想實(shí)現(xiàn)域環(huán)境,就必須要計(jì)算機(jī)中安裝活動(dòng)目錄,也可以說如果在內(nèi)網(wǎng)中的一臺(tái)計(jì)算機(jī)上安裝了活動(dòng)目錄,那它就變成了域控制器。在域中除了域控制器還有成員服務(wù)器、客戶機(jī)、獨(dú)立服務(wù)器。
父域和子域
顧名思義,在一個(gè)域下新建了一個(gè)域便稱其為子域。形象的來說,一個(gè)部門一個(gè)域,那個(gè)如果這個(gè)部門還有分部,那每個(gè)分部就可被稱為子域,這個(gè)大的部門便稱為父域。每個(gè)域中都有獨(dú)立的安全策略。
域樹
域樹由多個(gè)域組成,這些域共享同一表結(jié)構(gòu)和配置,形成一個(gè)連續(xù)的名字空間。
樹中的域通過信任關(guān)系連接起來,活動(dòng)目錄包含一個(gè)或多個(gè)域樹。域樹中的域?qū)哟卧缴罴?jí)別越低,一個(gè)“.”代表一個(gè)層次,如域child.microsoft.com 就比 Microsoft.com這個(gè)域級(jí)別低,因?yàn)樗袃蓚€(gè)層次關(guān)系,而Microsoft.com只有一個(gè)層次。
而域Grandchild.Child.Microsoft.com又比 Child.Microsoft.com級(jí)別低,道理一樣。他們都屬于同一個(gè)域樹。Child.Microsoft.com就屬于Microsoft.com的子域。
多個(gè)域樹可以組成一個(gè)域林。
域林
域林是指由一個(gè)或多個(gè)沒有形成連續(xù)名字空間的域樹組成,它與域樹最明顯的區(qū)別就在于域林之間沒有形成連續(xù)的名字空間,而域樹則是由一些具有連續(xù)名字空間的域組成。
但域林中的所有域樹仍共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹通過Kerberos 信任關(guān)系建立起來,所以每個(gè)域樹都知道Kerberos信任關(guān)系,不同域樹可以交叉引用其他域樹中的對(duì)象。域林都有根域,域林的根域是域林中創(chuàng)建的第一個(gè)域,域林中所有域樹的根域與域林的根域建立可傳遞的信任關(guān)系.
比如benet.com.cn,則可以創(chuàng)建同屬與一個(gè)林的accp.com.cn,他們就在同一個(gè)域林里.
當(dāng)創(chuàng)建第一個(gè)域控制器的時(shí)候,就創(chuàng)建了第一個(gè)域(也稱林根域),和第一個(gè)林。
林,是一個(gè)或多個(gè)共享公共架構(gòu)和全局編錄的域組成,每個(gè)域都有單獨(dú)的安全策略,和與其他域的信任關(guān)系。一個(gè)單位可以有多個(gè)林。
3、活動(dòng)目錄
活動(dòng)目錄 Active Directory ,簡寫為 AD,它是 Windows Server 中負(fù)責(zé)架構(gòu)中大型網(wǎng)絡(luò)環(huán)境的集中式目錄管理服務(wù),在Windows 2000 Server 開始內(nèi)置于 Windows Server 產(chǎn)品中。
目錄包含了有關(guān)各種對(duì)象,例如用戶、用戶組、計(jì)算機(jī)、域、組織單位(OU)以及安全策略的信息。目錄存儲(chǔ)在域控上,并且可以被網(wǎng)絡(luò)應(yīng)用程序或者服務(wù)所訪問。
活動(dòng)目錄就相當(dāng)于內(nèi)網(wǎng)中各種資源的一個(gè)目錄,通過活動(dòng)目錄用戶可以快速定位到這些資源的位置。
4、DMZ
DMZ demilitarized zone ,中文名為“隔離區(qū)”,或稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,從而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。
DMZ 區(qū)可以理解為一個(gè)不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域,DMZ 內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器,比如 WEB 服務(wù)器、E-mail 服務(wù)器、FTP 服務(wù)器等。這樣來自外網(wǎng)的訪問者只可以訪問 DMZ 中的服務(wù),但不可能接觸到存放在內(nèi)網(wǎng)中的信息等,即使 DMZ 中服務(wù)器受到破壞,也不會(huì)對(duì)內(nèi)網(wǎng)中的信息造成影響。
5、域內(nèi)的各種權(quán)限
首先要理解一下組的概念,在組里包含了很多用戶,當(dāng)管理員想要給某個(gè)用戶分配權(quán)限時(shí),只需要將用戶加入到對(duì)應(yīng)權(quán)限的組里就行,從而提高了管理效率,常見的組有:域本地組、全局組、通用組。
域本地組
成員范圍:所有的域;使用范圍:自己所在的域
全局組
成員范圍:自己所在的域;使用范圍:所有的域
通用組
成員范圍:所有的域;使用范圍:所有的域
A-G-DL-P 策略
A-G-DL-P 策略是將用戶賬號(hào)添加到全局組中,將全局組添加到域本地組中,然后為域本地組分配資源權(quán)限。
A 表示用戶賬號(hào)G 表示全局組U 表示通用組DL 表示域本地組P 表示資源權(quán)限
.png)
