windows活动目录 活动目录管理简述部署域服务
番茄系统家园 · 2021-08-14 07:10:17
上周听了tt大神作分享,获益良多。之前一直不知道的域是怎么回事,有点被点拨开悟了一些。趁现在还有记忆,把当时的记录回忆一下。
活动目录,即,是服务器环境的一个核心服务,对呀邮箱呀机器登录等服务提供认证和管理支持,参考官方说明-。
一、AD基础概念
AD在服务器内部,是一套系统,在每台机器都有对应服务且共享和交换信息。这里首先了解以下基本概念:
在AD中,几个关键实体为:、user、ou(,组织单元),它们之间的联系是这样的——
ou--|-user|-(printer等等各种设备)
一个ou内的机器是信任的(trust),访问关系控制是基于ou实体设计的。
二、角色
其次,了解FSMO(FlexibleSingleMasterOperation,灵活单主机操作),是被设置为担任提供特定角色信息的网域控制站,有5类角色
Schemamaster:森林级别,架构主机
Domainnamingmaster:森林级别,域命名主机
PDB(BDC):PDC模拟器,域级别,修改密码时先变更到PDC再同步生效
RID:域级别,提供分配Object唯一标识符
Infrastructuremaster:域级别,维护AD工作
三、DNS
域名在AD中是重要组成,活动目录的域,就是指对应的域名。域和子域构建成森林,表示如下图
un.com#假设有个跨国公司|-usa.un.com#美国总部|-chn.un.com#中国分公司|-sgp.un.com#新加坡分公司
这里的域通过树形结构组织成森林,在根域放域控制器(DomianController,至少主备),负责管理组策略(GPMC)。常听说域控被黑了,其实就是指它。获得域控后权限就非常大,畅游内网了。域控还分RODC(只读)和RWDC(读写),国内对前者的介绍比较少,这里涉猎还不深,不展开了。
上面介绍的5个重要概念为:FSMO、trust、DNS、DC、GPMC
四、安全性
域中的一台普通机器被黑了,黑客可能会在上面开启WCE\Mimikatz等来抓哈希,用来等他人登录获取登录凭证。万一管理员不规范操作使用域管理员身份登录了,黑客嗅探到则可以通过哈希传递(PassTheHash)获取域控权限了。
国外有个解决方案,是微软的ATA(AdvancedThreatAnalytics),可以参考WhatisMicrosoftAdvancedThreatAnalytics(ATA)?,里面的产品形态,对于UEBA建设是个不错的参考,待进一步分析了。
