web安全day10:通过实验理解windows域的OU和GPO
我们已经知道,通过在dc上创建新用户,新用户就可以登录连接到域的计算机。问题是,使用dc中的用户名登录到计算机后,是否对该计算机拥有完全控制权限呢?
答案是不行的。
我们既希望用户能对自己的电脑拥有完全控制权,但是又不希望将其域用户的权限提升到域管理员。我们应该怎样做呢?
我们知道,计算机是有本地管理员组的,我们能不能将域中的普通用户加入本地管理员组呢?
答案是可以的。
我们先使用域管理员身份登录该计算机。
右键我的电脑--计算机管理--本地用户和组
我们可以看到在组中,有一个是administrators组,这就是本地管理员组。我们双击查看他的属性
可以看到在该组中,存在三个成员,分别是Administrator(本地管理员)、liangkoong(我们本地创建的管理员)和xdf\domain admins(域管理员组)。
可以看到并没有qiang.li用户,这也说明了作为在dc中创建的qiang.li账户并不是本地管理员,他的权限是比较低的。
我们可以将其添加进本地管理员组。
我们在输入框中直接输入qiang.li,点击检查名称,系统自动为我们补全。
这样,我们就将qiang.li这个dc中的普通用户添加进了本地管理员组。
然后我们注销登录,使用qiang.li账户来登录。
建议将域用户加入到普通成员机的本地管理员组中。
本地管理员组:administrators
域管理员组:domain admins
几个名词
1)OU:组织单位。origanazation unit
作用:用于归类域资源(域用户、域计算机、域组)。OU便于我们对大量的域资源进行归类和查找。比如IT部的所有计算机放入IT的OU中,财务部的所有计算机放入财务的OU中。我们可以把OU理解为一个容器,他的作用类似于组,都是用于分类的。组的意义在于为众多的用户统一分配权限,目的是赋权限,而OU的目的是为了下发组策略,通过为OU绑定组策略来统一限制用户。组策略的目的是为了对用户进行限制,如不让上网页,不让关机等。
OU的创建。
在dc中打开ad用户和计算机,在我们的域名上右键--新建--组织单位。
我们其实也可以将xdf.com下的所有文件夹都认为是OU,比如computers、domain controller、users等,它们都是相同组策略的集合。
OU是可以嵌套的,这也体现了组织架构的分层管理目的。我们将此前创建的李强同学的账号移动到IT部下,如果此后给IT部一个组策略,李强同学就会收到相应的影响。
我们不仅可以对用户进行这样的分类,同时也可以对域中的计算机进行相同的分类,在OU这个容器中,它们是平等的。建议将用户和他的电脑放在同一个OU中。
2)GPO:组策略。group policy
作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。
组策略在域中,是基于OU来下发的。组策略在域中下发后,用户的应用顺序是LSDOU(local--site--domain--ou,即如果同时有local和ou的策略,那么以ou的策略为准)。需要注意的是组策略本身与域是没有关系的,本地也有组策略。
我们打开开始菜中--管理工具--组策略管理。
在xdf.com中,存在两个OU,分别是domain controllers和我们创建的新东方。
在此界面中,组策略表有
default domain policy,这是全局默认的组策略表。修改它能对整个域的计算机起作用。
default domain controllers policy,这是域控的默认的组策略表。修改它能对所有dc起作用。
我们可以手动为新东方这个OU建组策略。
一般我们给GPO的名称与其对应OU一致。
我们可以为每一个OU都贴一张GPO
我们对GPO的第一个需求是定制企业桌面背景,我们希望所有加入企业域中的计算机的桌面背景都是企业logo。
我们右键新东方这个GPO,点击编辑。
出现了组策略管理编辑器。
其中计算机配置是对该OU中所有计算机进行配置,对计算机生效,而用户配置就是对OU中所有用户进行配置,对用户生效。毕竟这是两种不同的实体。理论上,对于用户的策略修改,注销用户再登录就会生效,对于计算机的策略修改,重启计算机才会生效。
我们打开用户配置--策略--管理模板--桌面--active desktop,可以看到右侧有很多条目,每一条都是一条策略,每一条策略对应一个状态,状态一般有三种,默认状态(未配置)、启用和禁止。我们可以看到桌面墙纸。
我们进行修改,注意需要写网络路径。同时将share该文件夹的共享权限中添加domain users组的读权限。
我们在windowsxp进行验证。重启或者注销登录。发现成功。
我们可以在dc的gpo中查看具体的策略应用情况。
web安全day10:通过实验理解windows域的OU和GPO相关推荐
- 深入理解Windows域概念
原文地址:http://angerfire.blog.51cto.com/198455/43217 在说域这个概念之前,我们先来回忆一下工作组. 首先,工作组中,每一台计算机都独立维护自己的资源,不能 ...
- 配置AD域环境、OU、GPO
文章目录 配置AD域环境 OU.GPO 配置AD域环境 Active Domain 微软技术:1)工作组:平等 2)域 主要优点:集中管理/统一管理 域成员:1)域控制器:Domain Control ...
- Windows域环境使用教程实验
Windows域环境使用 先确定两台服务器相通 配置域控服务器 1.配置静态IP与DNS 2.配置域服务 点击服务器管理器-添加角色和功能-下一步-添加AD域服务: 3.提升为域控制器 安装完成后,可 ...
- windows域问题总结--专家门诊四十七问
QUOTE: 深入理解域之AD活动目录企业应用及案例分享 无论集中还是分散,目录服务触及企业的每个角落,而且常常超越企业延伸到商业伙伴和客户.AD是一个企业目录系统,可以自动进行用户数据,安全和分布的 ...
- windows域常见问题集锦
本文出自: http://angerfire.blog.51cto.com/198455/101040感觉十分有用,转载下来自己拜读和大家一起研究 开始提问: 1.域里用组策略进行软件发布,针对计算机 ...
- Windows域环境下部署ISA Server 2006防火墙(二)
利用ISA防火墙实现安全快速上网 本次接上回,上次咱们在windows域环境中部署了ISA Server 2006,安全性确实提高了,但也有点"太高了",因为现在用户只能在局域网里 ...
- html表单实验结论,web前端开发技术实验报告-实验五
1.长 春 大 学 20 15 2016学年第 二 学期Web前端开发技术 课程实 验 报 告学 院: 计算机科学技术专 业: 软件工程 班 级: 软件14402 学 号: 姓 名: 王 悦 任课教师 ...
- 浅析Windows域环境身份认证与攻击思路
文章目录 前言 Kerberos协议 第1步-AS认证获取TGT 第2步-TGS认证获取ST 第3步-服务端服务认证 NTLM 认证 本地认证模式 网络认证模式 内网横向渗透 哈希凭证窃取 内网远程连 ...
- # 2017-2018-1 20155232《信息安全技术》实验二——Windows口令破解
2017-2018-1 20155232<信息安全技术>实验二--Windows口令破解 [实验目的] 了解Windows口令破解原理 对信息安全有直观感性认识 能够运用工具实现口令破解 ...
- linux加入windows域之完美方案
笔者这几天在研究samba服务通过ad域进行用户验证.在查资料的过程中发现.关于linux加入windows域,网上资料不少,但是按着网上的说法做大多不成功,甚至很多人估计都不知道自己在 ...
最新文章
- 使用 Go module 后 VScode 智能提示不生效解决方案
- 发际线有救了!这款app可一键AI生发,拯救你的自拍焦虑
- 深度学习框架哪家强?国产框架OneFlow做了一份测评报告
- 没有传说,也没有神话,我只相信我自己
- Android 解决不同进程发送KeyEvent 的问题
- SpringMVC 中整合JSON、XML视图一
- 15 sql base line 工作机制
- java cmd 等待输入_JAVA:调用cmd指令(支持多次手工输入)
- 【转】DB2学习路线
- 前端工程师面经——概述及面试技巧加考点篇(一)
- MySQL迁移至MariaDB
- 数组图形的一些数学操作 有可能考试会遇到哦
- 巴菲特:马斯克是伟大企业家,但特斯拉股票不是好投资标的
- mysql查询中使用别名_如何在MySQL选择查询中使用别名?
- UltraWebGrid两种显示样式
- 计算机管理(一)C盘瘦身
- AddType requires at least two arguments, a mime type followed by one or more file extensions
- 山西农业大学计算机科学与技术分数线,山西农业大学计算机科学与技术专业2016年在湖北理科高考录取最低分数线...
- java邮件数据库_javamail-demo(完整源码+数据库)
- 计算机网络设备的种类,计算机网络设备选型依据.ppt