域内用户与机器用户
机器用户
打开ADExplorer查看域内 computer
看到属性computer 是user的子类,继承user类的属性。而域用户是user类的实例。域用户该有的属性,计算用户都有,可以说,机器用户就是一种域用户。
本地用户SYSTEM就对应于域内的机器用户,在域内的用户名就是机器名+$,比如VSAN1这台机器,域内登录名是VSAN1$
所以可以将当前用户提到system,能充当机器用户,即域内用户权限。
查找域内所有机器
AdFind.exe -f "(objectcategory=computer)" -dn
查询dc
AdFind.exe -sc dclist -dn
域用户账户与机器用户的对应关系
在默认情况下域普通用户能登录域内任意普通机器。
限制域内用户登录
登录查看server 08机器,打开本地安全策略—>运行本地登录
默认会将user组配置在里面,运行user组进行登录,user组中就包含了Domain Users。所以域内成员默认都能登录域内任何一台机器。
在域用户做限制
在配置domain user属性——>账户-->登录到 中添加该用户可登录机器
机器做限制
在iis08机器上做限制,打开本地安全策略-> 允许本地登录 将user进行删除,只运行administrator进行登录
查找域内用户能够登录的主机
限制了域用户只能登录到某台主机之后,在LDAP里面,会设置一个字段,userWorkStation。这个字段保存了这个域用户只能登录到某台机器。
我们可以通过读域用户的userWorkStation来查看域用户限制登录到那一台机子。
比如这里的test用户只能登录到iis08机器上。
查看域用户正在登陆的主机
PsLoggedon64.exe \\dc01
查看正在dc01正在登录的域用户给
netsess.exe
netsess.exe \\dc01
PVEFindADUser.exe
PVEFindADUser.exe -current
可以用于查找活动目录 用户登录位置、枚举用户 、以及查找特定计算机登录用户
、包括本地用户 、通过rdp 登录的用户 、运行服务和计划任务的用户
运行条件: .net 2.0 、管理员权限
-current: 获取计算机当前登录的所有信息
查找域用户登录过的机器
可以拉取windows的登录日志
wevtutil epl Security c:\windows\logs\1.evtx /q:"*[EventData[Data[@Name='LogonType']='3'] and System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 4449183132]]]"
提取日志
LogParser.exe -i:EVT -o:CSV "SELECT TO_UPPERCASE(EXTRACT_TOKEN(Strings,5,'|')) as USERNAME,TO_UPPERCASE(EXTRACT_TOKEN(Strings,18,'|')) as SOURCE_IP FROM 1.evtx" >log.csv
