一、概述
1、工作组:将不同的计算机按功能(或部门)分别列入不同的工作组
(1)、查看(windows)
- 查看当前系统中所有用户组:打开命令行--》net localgroup
- 查看组中用户:打开命令行 --》net localgroup 后接组名
- 查看用户所属组:打开命令行 --》net user 后接用户名
(2)、加入/创建(windows)
- 用户加入工作组:此电脑属性--》更改设置,命令行--》net localgroup 组名 用户名
(3)、优缺点
- 优点:资源、访问权限共享
- 缺点:缺乏集中管理与控制,只适合小规模用户使用
(4)、本地工作组
- 本地最高管理员权限administrator
- 用户的SID 最后一位是500
- 查看当前系统所有用户SID:wmic useraccount get name,sid
- 默认在administrators组中
- 本地普通管理员权限:加入了administratorts组但不是administrator的用户
- 虽然也是管理员,但是有些操作也是执行不了的,因为有UAC认证
(5)、UAC认证:进行一些会影响系统安全的操作时,会自动触发UAC,用户确认后才能执行
- 命令行输入MSConfig进入系统配置--》工具--》设置UAC
2、域:有安全边界的计算机集合
注:安全边界:在两个域中,一个域中的用户不能访问另一个域中的资源
(1)、特点:账号集中管理,所有帐号均存在服务器上
(2)、相关概念
- 域控(DC):用于管理所有客户端的服务器,负责接入的主机和用户的认证工作。
- 类似于公司中的门禁系统,会根据你的身份信息,来允许或阻止进入哪个房间。
- 在域环境中可以存在多个DC,一个作为主DC,其他为备份DC
- 父域与子域:在网络中划分多个域。第一个域称父域,各分部的域称该域的子域
- 类比:若父域是域名中的二级目录,那子域就是域名中的三级目录
- 父域和子域之间默认是信任的
- 父域和子域之间可以有同名的用户存在
- 域树:若干个域通过建立信任关系而组合成新的集合
- 类比:域名中的多级目录
- 域树中,域层次越深,级别越低
- 域林:多个域树通过建立信任关系组成的集合
- 类比:一个公司的两个不同的二级目录
- 活动目录(AD):用于存储和组织网络中的对象(例如用户、计算机和组),并提供对这些对象的集中管理和访问控制。
- 类比:若内网是一个字典,那么内网里的资源就是字典内容,活动目录相当于字典的索引
二、域环境搭建(windows server2012)
1、设置服务器,设置IP配置
2、更改计算机名(更改后需重启)(不更改也行,要能记住)
3、安装DC和DNS服务器
4、配置服务器(没提到的保持默认)
注:可以在记事本上记录,以防忘记,server2012:
- 计算机名:125e
- DC根域名:hack.com
- 加入DC身份认证密码:125e@Hack
- 账号:administrator
5、域内搭建主机(win7)
注:双方能ping通,不然加入不了域环境
(1)、设置IP
(2)、server2012添加域用户
(3)、win7修改计算机名,加入域环境
注:win7:
- 计算机名:win7
- 域用户:xlj
- 账号:win7
- 密码:Win@1234
(4)、重启,输入创建的域账号和密码登录
(5)、CMD运行whoami,前面多了域名,即成功加入域内
注:在server上添加用户,需要解锁账户
三、域内权限
1、组账号
- 域本地组:其成员可以来自任意域,但只能访问本域的资源
- 类比:工作组的普通用户
- 想进行一些操作时,需要进行身份认证
- 全局组:其成员只能来自本域,但可以访问域林中任何资源
- 通用组:其成员可以来自任意域,且可以访问域林中的任何资源
2、A-G-DL-P策略:指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
- A:用户账号
- G:全局组
- U:通用组
- DL:域本地组
- P:资源权限
