1.1 名词解释

域和工作组的区别：

工作组中所有的计算机都是对等的，也就是没有服务器和客户机的之分，所以工作组并不存在真正的集中管理作用；域是一个有安全边界的计算机集合，安全边界指的是一个域中的用户无法访问到另一个域中的资源。

域的分类：

1）单域

一般在具有固定位置的公司内部，建立一个域就可以满足需求。一般在一个域中至少需要有两台域服务器，一个作为DC（域控服务器），另一个作为BDC（备份域控服务器）。

2）父域

出于管理的需要，在网络中划分出多个域，第一个域称为父域，各部分的域称为该域的子域。

3）域树

域树指若干个域通过建立信任关系组成的集合。一个域管理员只能管理本域的内部，不能访问或者管理其他域，两个域之间的互相访问需要建立信任关系。

子域是相对于父域而言的，指的是域名中的每一段。子域只能使用父域作为域名的后缀，也就是说在一个域树中，域的名字是连续的。

4）域森林

域森林指若干域树通过信任关系组成的集合。可以通过域树之间的信任关系来管理和使用整个森林中的资源，从而又保持了原有域自身的特性。

DNS域名服务器和域控制器之间的关系：

在内网渗透时，通常通过定位DNS服务器来定位域控服务器，因为通常DNS服务器和域控制器会在同一服务器上。

什么是活动目录？

活动目录（Active Drectory，AD）是域环境中提供目录服务的组件，目录指的是存储有关网络对象（如用户，组，计算机，共享资源，打印机和联系人等）的信息。活动目录可以比作是网络中所有资源的快捷方式，用户通过寻找快捷方式而定位资源。

域控制器（DC）和活动目录（AD）的区别：

当网络规模较大时，我们会把网络中的众多对象（如计算机，用户，组，打印机，共享文件等）分门别类地放在一个大仓库，并做好检索信息，以便于查找。这个有层次结构的数据库，就是活动目录。

而活动目录所在的计算机，就可以称之为域控制器。

1.2 域内权限解读

1）域本地组

多域用户访问单域资源。可以从任何域添加用户账户、通用组和全局组，只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。

2）全局组

单域用户访问多域资源（必须是同一个域里面的用户）。只能在创建该全局组的域上进行添加用户和全局组，可以在域林中的任何域中指派权限，全局组可以嵌套在其他组中。

3）通用组

通用组成员来自域林中任何域中的用户账户、全局组和其他的通用组，可以在该域林中的任何域中指派权限，可以嵌套于其他域组中。非常适于域林中的跨域访问。

记忆方法：

• 域本地组：来自全林作用于本域
• 全局组：来自本域作用于全林
• 通用组：来自全林作用于全林

AGDLP策略：

A（Account），表示用户账号；G（Global group），表示全局组；U（Universal group），表示通用组；DL（Domain Local group），表示域本地组；P（Permission），表示资源权限。

AGDLP策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。在AGDLP策略中，当给一个用户某一个权限时，只需要将该用户加入到某一个本地域组即可。

在内网渗透中，当拿到以下用户权限时，将大大提高效率。

本地域组的高权限组：

• Administrator（管理员组）
• Remote Desktop Users（远程登录组）
• Print Operators（打印机操作员组）
• Account Operators（账号操作员组）
• Server Operators（服务器操作员组）
• Backup Operators（备份操作员组）

全局组、通用组中高权限组：

• Domain Admins（域管理员组）
• Enterprise Admins（企业系统管理员组）
• Schema Admins（架构管理员组）
• Domain Users（域用户组）

1.3 域环境搭建实验

工具：

• VMware Workstation
• Windows Server 2016 iso
• Windows 10 iso

将Windows Server和Windows 10设置为仅主机模式，将Windows Server设置为DC，并为其配置DNS服务器；将Windows 10设置为在Windows Server所在域中的用户。

由于该实验过于简单，这里就不演示，这里强调一个坑，在DC上创建新用户时记得这样勾选，Windows 10在登录该域时就不会报错了。

Windows 10在登录域时，使用的用户名是在DC上新创建的用户，密码是创建用户时指定的密码。