小栗子:
小红的爸爸是一名新创业的大老板,但是也不喜欢麻烦。可能大多数大老板都是这样的吧!现在在他面前有一个大问题!他需要管理手下使用的2000+多台电脑!
小红爸爸是不喜欢麻烦的人,如果是正常流程,他就得2000+次创建用户,绑定密码,甚至最麻烦的是每次更新变动,都要这么复杂的操作!
概念引入:
内网:
也指局域网(Local Area Network,LAN),是指在某一区域内由多台计算机互联而成的计算机组,组范围通常在及千米以内。例如:银行、政府、网吧
工作组:
存放功能相同的一组加算计的列表
创建方法:
计算机——属性——更改设置——更改——然后在计算机名称,然后在工作组一栏输入到想要所属的工作组,如果输入的工作组并不存在,即为新建(当然只有此电脑在该工作组内)。windows会提示需要重启,重启后进入网络,即可查看工作组中的成员了。
域(Domain):
一个有安全边界(两个域中一个域中的用户无法访问另一个域的资源)的计算机集合
域控制器(Domain Controller,DC):
如果说域是一个企业,那么DC即为门卫
实质:
域渗透实际上就是要获得DC的使用控制权!
域内的几个环境:
单域:
至少有一个DC,另一个作为备份的DC。否则一旦错误,岂不是要瞬间瘫痪
父域和子域:
出于管理及其他的需求,需要在网络中划分多个域!,第一个域为父域,各分部的域称为子域
域树(Tree):
指若干个域通过建立信任关系而组合成新的集合!
来点儿好懂的:
abc.com及为父域,asia.abc.com为子域,可见有一个子域必须以父域名为后缀名
域名服务器(Domain Name Server,DNS):
指用于进行域名(Domain Name)和与之相对应的IP地址(IPAddress)转换的服务器。
一般内网渗透时,就是寻找DNS服务器来定位DC(DNS服务器和DC通常会处在同一台机器上)
活动目录(Active Directory,AD):
是指域环境中提供目录服务的组件
目录是什么?
存储有关网络对象
如何调用?安装即可!
管理员可以在活动目录中忽略被管理对象的具体地理位置,而将这些对象按照一定的方式放置在不同的容器中,这种组织架构称之为逻辑架构
活动目录的逻辑架构包括上面讲到的组织单元(OU)、域、域树、域森林
域控制器和活动目录的区别?
如果网络规模较大,就考虑把网络中众多对象,井然有序的放在一个大仓库中,并将检索信息整理好吗,以便于使用,这个拥有层次结构的库就是活动目录数据库。简称AD库
安全域的划分:
划分安全域的目的是将一组安全等级相同的计算机划入同一网段,这一网段的计算机拥有相同的网络边界,并通过防火墙来实现对其他安全域的控制策略(NACL)从而规定是否拥有访问权限
通常一个传统中小型的内网安全域划分为外网(安全级别最低)、一个内网和一个隔离区(DMZ)(安全级别最高)
隔离区:
是为了解决安装防火墙后,外部网络不能访问内网,一般将公开的文件放于隔离区中!
域中计算机的分类:
域控制器(必有):用于管理所有的网络访问
成员服务器:安装了服务器系统且加入了域,但没有安装活动目录的计算机
客户机:用户使用账号密码登录来访问并调用此间资源
独立服务器:和域没有关系。既不加入域也没有安装活动目录的服务器
域本地组 多域用户访问单域资源(访问同一个域),可以从任何域添加用户账户、通用组和全局组,但只能在其所在域内指派权限。域本地组不能嵌套于其他组中。域本地组主要用于授予位于本域资源的访问权限。
全局组 单域用户访问多域资源(必须是同一个域里面的用户),只能在创建该全局组的域上进行添加用户和全局组,可以在域森林中的任何域中指派权限。全局组可以嵌套在其他组中。
通用组 通用组成员来自域森林中任何域的用户账户、全局组和其他通用组,可以在该域森林的任何域中指派权限,可以嵌套于其他域组中,非常适于域森林中的跨域访问。
A-G-DL-P策略 A-G-DL-P策略是指,将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
A(Account)账号
G (GlobalGroup)全局组
U(UniversalGroup)表示通用组。
DL(DomainLocalGroup)表示域本地组。
P(Permission,许可)表示资源权限
测试工具:
Kali
网络配置问题:
桥接模式
在桥接网络中,虚拟机是一台独立的机器。在此模式下,虚拟机和主机就好比插在同一台交换机上的两台计算机。如果主机连接到开启了DHCP服务的(无线)路由器上,虚拟机就能够自 动获得IP地址。如果局域网内没有提供DHCP服务的设备,就需要手动配置IP地址。只要IP地 址在同一网段内,那么局域网内的所有同网段的计算机都能互访。这样,虚拟机就和主机一样能够上网了。
NAT模式
NAT(NetworkAddressTranslator)表示网络地址转换。在这个网络中,虚拟机通过与物理机的连接来访问网络。虚拟机能够访问主机所在局域网内所有同网段的计算机。但是,除了主机,局域网内的其他计算机都无法访问虚拟机(因为不能在网络中共享资源)。通常都是Net模式!
Host-only模式