0x01 简介
windows域是计算机网络的一种形式,一个域环境至少包括一个域控制器,在windows网络中,还有一种网络形式是工作组,工作组内部的成员其等级都是相同的,而域中的成员所持有的权限则是由域控制器控制。
&esmp;windows域的目的就是为了对域成员进行集中管理,可以对域中的成员分发不同权限,域的成员主要包括计算机和用户,不同的计算机和用户都可以分发不同权限并进行集中管理。
0x02 域的组成
- DC 域控制器,可以控制域中的其他成员
- 域成员,包含计算机和用户账户等
0x03 活动目录
活动目录简称AD,提供对域成员的控制机制,是域中的最重要部分,只有存在于AD中的成员才能算是域中的成员。域中常见成员有计算机和用户,也可以添加其他设备,在活动目录之中可以对域成员进行分组控制,形成组织单位OU,并在不同OU内部添加策略。
0x04 组策略
组策略GPO,用于控制电脑相关的操作,简单来说就是控制电脑可以做什么和不能做什么,以及配置相关的电脑环境。windows电脑都有本地组策略,控制当前用户或当前计算机的设置,域的组策略则是可以通过DC下发到不同的OU,完成对成员机的控制。
组策略的应用顺序:LSDOU
- L 本地组策略,域成员登录之后,先运用本机的GPO
- S 站点,为林之中的GPO
- D 域,整个域的GPO
- OU,组织单位,活动目录中为OU配置的GPO
- 运用顺序由上至下,只要存在,都会进行配置,当出现冲突时,后面的策略会覆盖前面的策略
0x05 域服务的安装注意事项
- 域服务是基于DNS服务分发的,需要域服务就要安装DNS服务器。
- windows提供了快捷的命令:dcpromo 来安装域控制器
- 域兼容性表示的是域内的成员计算机最低的版本配置,一般来说选择最低的就可以
- 成员机加入域需要配置DNS为域的DNS,然后手动加入域环境,加入域环境的成员机才能用域中的成员账户登录。
- 由于DNS服务需要被访问,服务器的防火墙需要关闭或者更改配置。
- 虚拟机配置域的时候,策略下发会存在延迟问题。
