参考文章

关于网络安全域隔离问题的研究与思考
【网络安全】域
活动目录(Active Directory) 介绍
DMZ区的理解
tag：标签
Ref：内链

本片文章仅供学习使用，切勿触犯法律！
未写完，待补充

概述

总结

工作组：无安全边界的计算机集合
域：有安全边界的计算机集合
活动目录：在域环境中提供目录服务的组件
域管理器：域中的一台类似管理服务系统

一、工作组

1、什么是工作组

工作组(Work Group)是局域网中的一个概念，它通过最常见的资源管理模式实现网络资源共享。

默认情况下，计算机都是采用工作组方式进行资源管理，将不同的电脑按功能分别列入不同的组中，以方便管理（默认所有的计算机都属于WORKGROUP工作组中，默认共享的是User目录）。

2、如何访问工作组

文件–>网络，这里就可以看到和你同除一个工作中的其他班计算机，如果你要访问其中的谋台计算机，直接点击它，然后输入该主机的用户名和密码即可访问共享的目录。

3、工作组的优缺点

1.优点：

工作组使我们访问的资源结构化更强。工作组情况下资源可以一定随机和灵活的分布，更方便资源共享，管理员只需要实施简单的维护。

2.缺点：

缺乏集中管理与控制的机制，没有集中的统一帐户管理，没有对资源实施更加高效率的集中管理，没有实施工作站的有效配置和安全性严密控制。只适合小规模用户的使用。

4、加入工作组

略

二、域

1、什么是域？

域（Domain）是一个有安全边界的计算机集合（安全边界的意思是，在两个域中，一个域中的用户无法访问另一个域中的资源）。与工作组相比，域的安全管理控制机制更加严格。

域控制器（Domain Controller ,DC）是域中的一台类似管理服务系统。域控制器负责所有人连入的计算机和用户的验证工作。域内的计算机如果想相互访问，都要经过域控制器的审核。

域控制器中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机连接到这个域时，域控制器首先要鉴别这台计算机是否属于这个域，以及用户使用的登录账号是否存在，密码是否正确。

单域
在一个域内，一般至少需要两台域服务器，一台作为DC，另一台作为备份DC。

父域和子域
有时候会在网络中划分多个域。第一个域称为父域，各分部的域称为该域的子域。在同一个域中，信息交互的条目是很多的，而且不会压缩；在不同的域之间，信息交互的条目相对较少，而且可以压缩。

子域只能使用父域的名字作为其域名的后缀。

每一个域都可以设置自己的安全策略。

域树
域树（tree）是多个域通过建立信任关系组合的集合。
信任关系是连接不同域的桥梁。域树内的父域与子域，不但可以按照需要相互管理，还可以跨网络分配文件和打印机等设备及资源，从而在不同的域之间实现网络资源的共享与管理、通信及数据传输。

域森林
域森岭（Forest）是指多个域树通过建立信任关系组成的集合。
通过域树之间的信任关系，可以管理和使用整个域森林的资源，并保留被兼并的域树自身原有的特性。

域名服务器
域名服务器（Domain Name Server，DNS）是指用于实现域名（Domain Name）和与之相对应得IP地址转换的服务器。

域中的计算机是使用DNS来定位域控制器、服务器及其他计算机、网络服务的，所以域的名字就是DNS域的名字。

在内网渗透中，通过寻找DNS服务器来确定域控制器的位置。（DNS服务器和域控制器通常配置在同一台机器上）

三、活动目录

活动目录（Action Directory，AD）是指域环境中提供目录服务的组件。
目录用于存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息。目录服务可以帮助用户快速、准确地从目录中找到其所需的信息的服务。

活动目录的逻辑结构包括前面的组织单元、域、域树、域森林。域树内所有域共享一个活动目录，这个活动目录内的数据分散存储在各个域中。且每个域只存储域内的数据。

活动目录提供主要提供以下功能：

账号集中管理
软件集中管理
环境集中管理
增强安全性
更可靠，更短的宕机时间

四、安全域

划分安全域的目的
将一组安全级别相同的计算机划入同一个网段即划分安全域。这个网段内的计算机拥有相同的网络边界，并在网络边界上通过部署防火墙实现对其他安全域的网络访问控制策略（NACL），从而允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。

可以将网络划分为三个区域：安全级别最高的内网；安全级别中等的DMZ；安全级别最低的外网。通过硬件防火墙的不同端口实现隔离。

DMZ
也可以称为隔离区，是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。
配置一个拥有DMZ的网络，通常需要定义如下访问控制策略：

内网可以访问外网
内网可以访问DMZ
外网不能访问内网：这是防火墙的基本策略。
外网可以访问DMZ：DMZ中的服务器需要为外界提供服务，所以需要外网访问DMZ。
DMZ不能访问内网
DMZ不能访问外网

内网划分
内网可以划分为办公区和核心区。

办公区：公司员工日常工作的网络，一般会安装防病毒软件、主机入侵检测产品等。办公区能够访问DMZ。
核心区：存储企业最重要的数据、文档等信息资产，通过日志记录、安全审计等安全措施进行严密的保护，往往只有很少的主机可以访问。

五、域内权限

组
组是用户账号的集合。通过向一组用户分配权限，就可以不必向每个用户分别分派权限。

域本地组
主要用于授予本域内资源的访问权限。域本地组不能镶嵌在其他组中。

全局组
单域用户访问多域资源（必须是用一个域中的用户），只能在创建该全局组的域中添加用户和全局组。可以在域森林的任何域内指派权限。全局组可以嵌套在其他组中。

通用组
通用组的成员来自域森林中任何域的用户账号、全局组和其他通用组，可以在该域森林的任何域中指派权限，可以嵌套在其他组中，适合在域森林内的跨域访问中使用。

简单记忆：域本地组来自全林，作用于本域；全局组来自本域，作用于全林；通用组来自全林，作用于全林。

【内网安全】基础知识：工作组、域和权限分配相关推荐

内网安全基础之安全域划分，工作组和域，用户与用户组
内网安全基础之安全域划分,工作组和域,用户与用户组 1.安全域划分安全级别最低的外网(Internet) 安全级别中等的DMZ(隔离区) 安全级别最高的内网 2.Windows网络架构 3. Win ...
【内网安全-基础】基础知识、信息收集、工具
目录一.基础知识 1.内网: 2.工作组: 3.域(Domain): 二.基础信息收集 1.判断是否在域内 2.机器角色判断 3.出网协议判断 4.端口判断三.常规信息收集 1.常用命令 2.常用 ...
内网渗透(五十三)之域控安全和跨域攻击-利用域信任密钥获取目标域控
系列文章第一章节之基础知识篇内网渗透(一)之基础知识-内网渗透介绍和概述内网渗透(二)之基础知识-工作组介绍内网渗透(三)之基础知识-域环境的介绍和优点内网渗透(四)之基础知识-搭建域环境内 ...
内网渗透(五十)之域控安全和跨域攻击-使用其他工具导出域账号和散列值
系列文章第一章节之基础知识篇内网渗透(一)之基础知识-内网渗透介绍和概述内网渗透(二)之基础知识-工作组介绍内网渗透(三)之基础知识-域环境的介绍和优点内网渗透(四)之基础知识-搭建域环境内 ...
内网渗透测试：内网横向移动基础总结
内网渗透测试:内网横向移动基础总结横向移动在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围.通过此类手段 ...
内网渗透代理知识以及渗透某CTF三层靶机实例
在学习完小迪内网代理安全知识后,自己也找来了案例中的CTF比赛中三层靶机,来总结一下内网代理知识.实验中成功拿到三个flag,话不多说,现在就开始. 文章目录前言一.内网代理知识二.CTF三层靶 ...
权限认证php,2016年Linux认证基础知识：php做权限管理
2016年Linux认证基础知识:php做权限管理在学习Linux认证过程中,每个人会遇到每个人不同的问题,或小或大,那么你知道在Linux下,php怎么做权限管理?下面跟yjbys小编来看看最新的 ...
1—内网安全——内网渗透基础
目录 1. 什么是内网 2. 内网基础的相关概念 3. 工作组 4. 域的相关概念 5. 活动目录 6. 安全域的划分 1. 什么是内网学过计算机网络的同学都知道一般内网指的是局域网,即一个局域范围 ...
计算机中的光学知识,科学网—光学基础知识大讲堂 ——第3期：详解电磁辐射 - 何卓铭的博文...
光学基础知识大讲堂 --第3期:详解电磁辐射何卓铭电磁辐射作为一种看不见.摸不着的场,是电磁波能量传递的一种方式.而我们生活着的地球环境中,便充斥着大量的电磁辐射,不过不用害怕,只有当电磁辐射达到 ...
网络基础知识 Domain 域
·内网环境: 1)工作组:默认模式,人人平等,不方便管理 2)域:人人不平等,集中管理,统一管理 ·域的特点: 集中/统一管理 ·域的组成: 1)域控制器(域控.服务器)DC(Domain Contr ...

【内网安全】基础知识：工作组、域和权限分配