域內用戶與機器用戶
機器用戶
打開ADExplorer查看域內 computer
看到屬性computer 是user的子類,繼承user類的屬性。而域用戶是user類的實例。域用戶該有的屬性,計算用戶都有,可以說,機器用戶就是一種域用戶。
本地用戶SYSTEM就對應於域內的機器用戶,在域內的用戶名就是機器名+$,比如VSAN1這臺機器,域內登錄名是VSAN1$
所以可以將當前用戶提到system,能充當機器用戶,即域內用戶權限。
查找域內所有機器
AdFind.exe -f "(objectcategory=computer)" -dn
查詢dc
AdFind.exe -sc dclist -dn
域用戶賬戶與機器用戶的對應關係
在默認情況下域普通用戶能登錄域內任意普通機器。
限制域內用戶登錄
登錄查看server 08機器,打開本地安全策略—>運行本地登錄
默認會將user組配置在裏面,運行user組進行登錄,user組中就包含了Domain Users。所以域內成員默認都能登錄域內任何一臺機器。
在域用戶做限制
在配置domain user屬性——>賬戶-->登錄到 中添加該用戶可登錄機器
機器做限制
在iis08機器上做限制,打開本地安全策略-> 允許本地登錄 將user進行刪除,只運行administrator進行登錄
查找域內用戶能夠登錄的主機
限制了域用戶只能登錄到某臺主機之後,在LDAP裏面,會設置一個字段,userWorkStation。這個字段保存了這個域用戶只能登錄到某臺機器。
我們可以通過讀域用戶的userWorkStation來查看域用戶限制登錄到那一臺機子。
比如這裏的test用戶只能登錄到iis08機器上。
查看域用戶正在登陸的主機
PsLoggedon64.exe \\dc01
查看正在dc01正在登錄的域用戶給
netsess.exe
netsess.exe \\dc01
PVEFindADUser.exe
PVEFindADUser.exe -current
可以用於查找活動目錄 用戶登錄位置、枚舉用戶 、以及查找特定計算機登錄用戶
、包括本地用戶 、通過rdp 登錄的用戶 、運行服務和計劃任務的用戶
運行條件: .net 2.0 、管理員權限
-current: 獲取計算機當前登錄的所有信息
查找域用戶登錄過的機器
可以拉取windows的登錄日誌
wevtutil epl Security c:\windows\logs\1.evtx /q:"*[EventData[Data[@Name='LogonType']='3'] and System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 4449183132]]]"
提取日誌
LogParser.exe -i:EVT -o:CSV "SELECT TO_UPPERCASE(EXTRACT_TOKEN(Strings,5,'|')) as USERNAME,TO_UPPERCASE(EXTRACT_TOKEN(Strings,18,'|')) as SOURCE_IP FROM 1.evtx" >log.csv
