内网的基本构造

内网也就是常说的局域网(Local Area Network,简称LAN)，是由两个或两个以上相连的计算机组成，局域网是包含在较小区域内的网络，覆盖范围一般是方圆几千米之内，通常位于建筑物内。家庭WiFi网络和小型企业网络是常见的局域网示例。在局域网内可以实现文件管理、应用软件共享、打印机共享等功能，在使用过程当中，通过维护局域网网络安全，能够有效地保护资料安全，保证局域网网络能够正常稳定的运行。

工作组(Work Group)

工作组是局域网中的一个概念。它是最常见最简单最普通的资源管理模式，就是将不同的电脑功能按功能分别列入不同的组中，以方便管理。在一个上百上千的局域网内，如果没有进行分组，那么他都会列在网络邻居内，是很乱的。为了解决这一问题，就产生了工作组的概念，比如将开发部的主机添加到开发部工作组。

计算机右键-->属性`,可以看到计算机的工作组，默认的是`WORKGROUP

可进行修改工作组，如果工作组在网络中不存在，那么会新建一个工作组，修改完成后需重启计算机，如需修改/退出工作组，修改工作组名即可。

域(Domain)

域是windows网络中独立运行的单位，是一个有安全边界的计算机集合(在两个域中，一个域中的用户无法访问另一个域中的资源)，域之间互相访问则需要建立信任关系(即Trust Relation)，如果网络中计算机和用户数量较多时，要实现高效管理，就需要windows域。域控制器(Domain Controller，DC)，在域环境中，至少一台服务器负责每一台连入网络的电脑和用户的验证工作，相当于一个单位的门卫一样。 域控制器中包含了这个域的帐户、密码、属于这个域的计算机等信息构成的数据库。当电脑连入网络时，域控制器首先要鉴别这台电脑是否属于这个域，使用的登录账号是否存在，密码是否正确。如果以上信息有一条不对，那么域控制器就会拒绝这个用户从这台电脑登录 ，不能登录就不能访问服务器上有权限保护的资源。域控制器是整个域的通信枢纽，所有的权限身份验证都在域控制器上进行，域内所有用来验证身份的账号和密码散列值都保存在域控制器中。

• 域分为:单域、父域/子域、域树、域森林、域名服务器
• 域控制器分为：主域控制器、辅助域控制器、只读域控制器、子域控制器

单域

在一个域内，只是需要两台域控制器，一台域控制器，一台备份域控制器(防止域控制器瘫痪，不能正常使用)。

父域/子域

出于管理及其他需求，需要在网络中划分多个域，总域为父域，各分部的域称为该域的子域。使用子域减小了域之间信息交互的压力(域内信息交互不会压缩，域间信息交互可压缩)，不同的子域可以使用特定的安全策略。

域树(Tree)

域树是多个域通过建立信任关系组成的集合。两个域之间如需互相访问，则需要建立信任关系。

域森林(Forest)

域森林是指多个域树通过建立信任关系组成的集合。

域名服务器(Domain Name Server,DNS)

域名服务器是用于域名和相对应的IP地址转换的服务器 在内网渗透中，可通过DNS服务器来确定与控制器的位置。

域用户组

组是用户账号的集合，通过向一组用户分配权限，就可以不必向每个用户分别分配权限。

域本地组(Domain Local Group)

多域用户访问单域资源，可以从任何域添加用户账号、通用组和全局组，但只能在其所在域内指派权限。域本地组不能嵌套在其他组中。域本地组主要用于授予本域内资源的访问权限。域本地组适用于单域。 常见的域本地组权限

• 管理员组(Administrators)
• 远程登录组(Remote Desktop Users)
• 打印机操作员组(Print Operators)
• 账号操作员组(Account Operators)
• 服务器操作员组(Server Operators)
• 备份操作员组(Backup Operators)

通用组(Universal Group)

通用组的成员可包括域森林中任何域的用户账号、全局组和其他通用组，可以在该域森林的任何域中指派权限，可以嵌套在其他组中。不过，通用组的成员保存在全局编录服务器（GC）中而不是保存在各自的域控制器中，任何变化都会导致全林复制。通用组适用于域森林。

常见的通用组权限

• 企业系统管理员组(Enterprise Admins)
• 架构管理员组(Schema Admins)

全局组(Global Group)

全局组是介于域本地组和通用组二者之间的一个组，它可以在域森林中使用，但是只能包含本域内的帐户。全局组的使用范围是本域以及受信任关系的其他域。

常见的全局组权限

• 域管理员组(Domain Admins)
• 域用户组(Domain Guest)
• 域内机器组(Domain Computers)
• 域控制器组(Domain Controllers)

A-G-DL-P策略

A-G-DL-P策略是指将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

• A(Account):用户账号
• G(Global Group):全局组
• U(Universal Group):通用组
• DL(Domain Local Group):域本地组
• P(Permission):资源权限

按照A-G-DL-P权限划分策略对域用户进行组织和管理十分方便，在A-G-DL-P策略形成后，如果需要给一个用户添加某个特定权限时，只需要把这个用户添加到其所在域本地组中就可以。

域和工作组的区别

工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机还是各自管理的，要分其中的计算机，还是要到被访问计算机上来实验用户验证的。域是一个有安全边界的计算机集合，在同一个域中的计算机彼此已经建立了信任关系，在域内访问其他机器，不需要被访问机器的许可了。工作组和域适用的环境不同，域一般是用在比较大的网络中，工作组则较小。

活动目录(Active Directory,AD)

活动目录是微软所提供的目录服务(查询，身份验证)的组件，目录是用于存储有段网络对象的信息，目录服务是指帮助用户快速的从目录中找到所需要的信息，而活动目录实现了目录服务，为企业提供了集中式管理机制。是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。主要提供的功能:

• 账号集中管理
• 软件集中管理
• 环境集中管理
• 增强安全性
• 更可靠，更短的宕机时间

安全域的划分

划分安全域的目的是将一组安全等级相同的计算机划入同一个网段。这个网段内的计算机拥有相同的网络边界，并在网络边界上通过部署防火墙及入侵检测、入侵防御等产品来实现对其他安全域的网络访问控制策略(NACL)，从而对允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。在一个内网中可以将网络划分为三个区域:安全等级最低的外网、安全等级中等的DMZ、安全等级最高的内网。DMZ区域一般称为隔离区，作用是解决防火墙后外部网络不能访问内部网络服务的问题而设立的一个非安全系统与安全系统之间的缓冲区，DMZ中可能能放置Web服务器、邮件服务器等。 内网区域一般分为办公区与核心区。办公区为公司员工日常工作的地方，办公区一般能访问DMZ区域。核心区存储企业重要数据、文档等信息。