内网基础知识
学习视频链接:
https://www.bilibili.com/video/BV1JA411x7HM?p=2
安全域的划分:
DMZ:
DMZ的作用就是缓冲的作用,外网无法直接访问内网,但是需要获取内网的资源,就通过外网访问DMZ,DMZ访问内网来获取,上图的网络安全等级可划分为三个层次,第一个层次是 外网,也是安全系数最低的,第二个层次就是DMZ区域,安全系数中等,第三个区域就是内网区域,安全系数最高。一般在DMZ区域定制访问策略。其实很多时候,我们通过网页打进内网,并不是实际意义上的内网,而是DMZ区域。
域中计算机分类:
- 域控制器
- 成员服务器
- 客户机
- 独立服务器
首先需要先了解域中活动目录的概念:
参考文章:https://blog.51cto.com/343308530/1211854
1、活动目录
要创建Windows域,首先必须理解活动目录的概念,因为域与活动目录是密不可分的。那么,什么是活动目录呢?严格的说,活动目录是Windows网络中的目录服务。对于目录服务的概念,实际上包含两层含义:一是活动目录是一个目录; 二是活动目录是一种服务。
这里所说的目录不是一个普通的文件目录,而是一个目录数据库,它存储着整个域(或整个Windows网络)的用户账号、组、打印机、共享文件夹等活动目录对象的相关数据。这使得用户可以非常方便地、快速地找到所需数据,也可以方便地对活动目录中的数据执行添加、删除、修改、查询等操作,所以,所以活动目录也是一种服务。
活动目录提供了存储网络上的对象信息及网络用户使用该数据的方法,活动目录有以下特点.
●集中管理。
活动目录集中组织和管理网络中的资源信息,它好比一个图书馆的图书目录,图书目录存放了这个图书馆的图书信息,而Window的活动目录就是Windows网络这个“图书馆”的一个“目录”,通过它可以方便地管理各种网络资源。
●便捷的网络资源访问。
活动目录允许用户一次登录网络就可以访问网络中的所有该用户有权访问的资源。并且,用户访问网络资源时不必知道资源所在的物理位置。活动目录允许快速、方便地查询网络资源。网络资源主要包含用户账户、组、共享文件夹、打印机等。
●可扩展性。
活动目录具有强大的可扩展性。目录可以随着公司或组织的增长而一同扩展,允许从一个网络对象较少的小型网络环境发展成大型网络环境。
2、域和域控制器
域是在Windows网络环境中组建客户机/服务器网络的实现方式。所谓域,是由网络管理员定义的一组计算机的集合,实际上就是一个网络。在域中,至少有一台称为域控制器的计算机,充当服务器的角色。在域控制器中保存着整个域的用户账号和安全数据库,即活动目录数据库。管理员可以通过修改活动目录数据库的配置,实现对整个域的管理和控制。如管理员可以在活动目录为每个用户创建域用户账号,使他们可登陆域并访问域的资源。同时,管理员也可以控制所有域用户的行为,如控制用户能否登陆,在什么时间登陆,登陆后能执行哪些操作等。而域中的客户计算机要访问域的资源,必须先加入域,并通过管理员为其创建的域用户账号(即管理员在域控制器中创建的账号)登陆域。同时,也必须接受管理员的控制盒管理。总之,创建域后,管理员可以对整个网络实施集中控制和管理。
简单来说,有活动目录数据库的计算机就是域控制器。
DC是Domain Controller的缩写,即域控制器, AD是active directory的缩写,即活动目录。
Domain Controller是一台计算机,实现用户,计算机,目录的统一管理。
域控制器和成员服务器以及独立服务器都是可以相互转换的,比如说 域内只有唯一台计算机,即 域控制器 ,这台计算机如果把 活动目录给删了,就会变成独立服务器,如果这个域内不只有域控制器,还有其他别的计算机,如果域控制器把活动目录给删了,这台域控制器就会变成 成员服务器 。
计算机属于这个域,是这个域的成员,就叫这个域的成员服务器,如果不属于这个域,和这个域没有任何关系,就叫独立服务器,独立服务器加入域之后就会变成成员服务器。
1.域控制器 域控制器是安装活动目录(ActiveDirectory)的计算机。域控制器主要负责管理用户对网络的各种权限,包括登录网络、账号的身份验证以及访问目录和共享资源等。WindowsNTServer4.0中的域控制器根据功能可以分为主域控制器(PDC)和备份域控制器(BDC)两种。而在 windows2000中已不存在此区别,所有的域控制器都是平等的。也就是说,当把windowsNTServer4.0的备份与控制器加入到 windows200Server域时,会自动升级为域控制器。当一个网络中只存在一台windows2000Server服务器时,一般要设置为域控制器。 2.成员服务器 成员服务器不能作为独立的服务器,只能是域的成员。它不处理与账号相关的信息,如登入网络,身份验证等,不需要安装活动目录,也不存储与系统安全策略相关的信息。但是,在成员服务器上可以为用户或组设置访问权限,允许用户连接到该服务器并使用相应资源。成员服务器一般也运行有 windows2000Server/AdvancedServer操作系统,主要用于以下类型的服务器:专用服务器。应用服务器、Web服务器、数据库服务器、远程访问服务器等。在中小型局域网中,如果不构建内部的Web服务器,一般很少使用成员服务器。 3.独立服务器 独立服务器是指虽然运行有Windows2000Server操作系统,但不作为域成员的计算机。也就是说它是一台具有独立操作功能的计算机,在此计算机上不再提供其他用户的账号信息,也不提供登录网络的身份验证等工作。独立服务器可以工作组的形式与其他计算机组建成对等网,在访问其他计算机资源的同时,也可将自己的资源提供给其他计算机访问。 当初次安装windows2000Server时,可以选择是域控制器、成员服务器或独立服务器。在安装后,服务器还可以根据应用需要进行调整,即可以将域控制服务器降级为成员服务器或独立服务器,也可以在成员服务器或独立服务器上安装活动目录(ActiveDirectory)来升级成域控制器。本实验我们的目的是组建一个windows2000Server小型局域网,这类局域网中一般只有一台服务器,所以这台服务器一定是域控制器。
内权限:
关于全局组,本地组和通用组,看了几遍也不明白通用组,全局组,本地组的概念,问了大佬之后说可以不用了解,这里先掠过,不过如果真的有三分之一必要的话,还是应该深度研究。
放一篇文章: https://www.cnblogs.com/IvanChen/p/4494696.html
可以看到,通用组的权限很大。一般的话是不会把账号直接添加到通用组的,先会添加到全局组,然后再把全局组中比较稳定的账号添加到通用组中。
A-G-DL-P策略
内置组权限
把全局组,本地组,和通用组统称为内置组。这些组有相对应的权限。
比较重要的几个本地组的权限
第一个就是管理员组,在活动目录中默认有管理员组,在域中是最强大的组。
第二个就是打印机操作员组,这个组的成员可以管理打印机,建立、管理、以及删除网络打印机,还有一个特点就是可以本地登录域控制器,关闭域控制器
第三个就是账号管理员组,可以创建或者管理域中的用户和组,并可以设置权限,但是有一个特点就是不能更改管理员组的账号和密码,默认还可以本地登录到域控制器
第四个就是服务器管理员组,这一组的成员可以管理域服务器,可以建立,删除,管理任何服务器里面的共享目录,比如网络打印机,关闭域控制器,等等
第五个就是备份组,备份组的成员可以在域控制器中执行备份和还原操作,并可以在本地登录和关闭域控制器
第六个就是远程登录组,授予远程登陆的权限
接下来介绍几个全局组和通用组的权限
第一个就是域管理员组,如果希望某用户成为域管理员,直接把他添加到这个组中即可
第二个就是企业系统管理员组
浙公网安备 33010602011771号