En la penetración de intranet, los conceptos que suelen aparecer son grupos de trabajo y dominios, por lo que es necesario tener una clara comprensión de los conceptos relacionados
grupo de trabajo
El grupo de trabajo es un concepto en la red de área local. Es el modo de administración de recursos más común. La sencilla razón es que, de forma predeterminada, las computadoras utilizan el método de grupo de trabajo para la administración de recursos. Coloque diferentes computadoras en diferentes grupos de acuerdo con sus funciones para facilitar la administración. De forma predeterminada, todas las computadoras están en un grupo de trabajo llamado WORKGROUP El modo de administración de recursos del grupo de trabajo es adecuado para situaciones en las que no hay muchas computadoras en la red y los requisitos de administración no son estrictos. Tiene sencillos pasos de configuración y es fácil de usar. La mayoría de las pequeñas y medianas empresas adoptan un enfoque de grupo de trabajo para la asignación de recursos y el uso compartido de directorios. Los diferentes usuarios del mismo grupo pueden ver las carpetas compartidas de la otra parte a través del nombre de usuario y la contraseña del anfitrión de la otra parte. La carpeta compartida predeterminada es el directorio de usuarios. Los diferentes usuarios de diferentes grupos también pueden ver las carpetas compartidas de la otra parte a través del nombre de usuario y la contraseña del anfitrión de la otra parte. Por tanto, el grupo de trabajo no tiene una función de gestión centralizada real, todos los equipos del grupo de trabajo son iguales, es decir, no hay distinción entre servidores y clientes.
Únete a un grupo de trabajo
Haga clic con el botón derecho en "Equipo" en el escritorio, seleccione "Propiedades" en el menú emergente, haga clic en "Cambiar configuración", "Cambiar", escriba el nombre que desee en la columna "Nombre del equipo" y luego haga clic en "Grupo de trabajo" ". Escriba el nombre del grupo de trabajo al que desea unirse en el campo. Si el nombre del grupo de trabajo que ingresó no está en la red, es equivalente a crear un nuevo grupo de trabajo. Por supuesto, solo su computadora está en el grupo temporalmente. Después de hacer clic en el botón "Aceptar", Windows le indicará que debe reiniciarse. Después de reiniciar, ingrese a "Red" y podrá ver los miembros del grupo de trabajo al que se ha unido.
Salir del grupo de trabajo
Simplemente cambie el nombre del grupo de trabajo. Pero otros aún pueden acceder a sus recursos compartidos en línea. También puede unirse a otros grupos de trabajo de la misma red. Un "grupo de trabajo" es como una "comunidad" a la que se puede ingresar y salir libremente, y es conveniente que las computadoras del mismo grupo accedan entre sí.
Visitar grupo de trabajo
Archivo -> Red, puede ver otras computadoras en nuestro grupo de trabajo. Cuando desee acceder a una computadora, haga clic en ella y luego ingrese el nombre de usuario y la contraseña del host para ver las carpetas compartidas del host.
Pros y contras de los grupos de trabajo
Ventajas: En una red, puede haber cientos de equipos. Si estos equipos no están agrupados, todos se enumeran en el "Entorno de red". La disposición irregular de los equipos nos dificulta el acceso a los recursos. Para solucionar este problema, el sistema operativo Windows98 introdujo el concepto de "grupo de trabajo", y se enumeraron diferentes equipos en diferentes grupos según sus funciones. Por ejemplo, los equipos del departamento de software se incluyeron todos en el "departamento de software" en funcionamiento Las computadoras del Departamento de Redes están incluidas en el grupo de trabajo "Departamento de Redes". Si desea acceder a los recursos de un determinado departamento, puede encontrar el nombre del grupo de trabajo de ese departamento en "Entorno de red" y haga doble clic para ver las computadoras de ese departamento. Las computadoras se clasifican por grupos de trabajo, lo que hace que nuestro acceso a los recursos sea más jerárquico. En el caso de los grupos de trabajo, los recursos se pueden distribuir de forma bastante aleatoria y flexible, lo que facilita el intercambio de recursos. Los administradores solo necesitan implementar un mantenimiento de nivel relativamente bajo.
Desventajas: Falta de un mecanismo de control y gestión centralizado, no hay gestión de cuentas unificada y centralizada, no hay una gestión centralizada más eficiente de los recursos, no hay una configuración eficaz de las estaciones de trabajo y un control estricto de la seguridad. Solo apto para usuarios a pequeña escala.
Con base en las deficiencias anteriores, cuando la cantidad de computadoras es relativamente grande, la escala de la red en las grandes empresas requiere una administración unificada y una verificación de identidad centralizada, y puede proporcionar a los usuarios formas convenientes de buscar y usar los recursos de la red, la organización de los grupos de trabajo es inapropiado, por lo que aparece el dominio.
zona
Solo Windows tiene control de dominio, Linux no tiene control de dominio
Se utiliza para describir una arquitectura, que corresponde al "grupo de trabajo", y es una arquitectura de alto nivel actualizada desde el grupo de trabajo. Para organizar lógicamente varias computadoras en la red juntas para una administración centralizada, este entorno lógico que es diferente de un grupo de trabajo se llama dominio. El dominio es
la unidad de administración central de la organización y los recursos de almacenamiento . El dominio es una colección de computadoras con límites de seguridad. Simplemente puede entender un dominio como un "grupo de trabajo" actualizado. En comparación con los grupos de trabajo, tiene un mecanismo de control de administración de seguridad más estricto. Si usted desea acceder a los recursos en el dominio, debe tener una identidad legal para iniciar sesión en el dominio, y el tipo de autoridad que tiene sobre los recursos en el dominio depende de sus usuarios en la identidad del dominio.
Inicio de sesión de dominio
Los equipos miembros del dominio pueden optar por iniciar sesión en el dominio o en este equipo al iniciar sesión.
Al iniciar sesión en el dominio, la autenticación se realiza en el controlador de dominio mediante el protocolo Kerberos.
Al iniciar sesión en esta computadora, la autenticación NTLM se realiza a través de SAM (es decir, autenticación local de Windows). Esencialmente, es el proceso mediante el cual Windows compara las credenciales de contraseña ingresadas por el usuario con el hash cifrado en el archivo sam.
De forma predeterminada, los usuarios del dominio pueden iniciar sesión en todas las estaciones de trabajo del dominio, excepto los controladores de dominio. Los administradores también pueden especificar equipos específicos y la información del usuario del dominio se almacena en Active Directory.
La diferencia entre grupo de trabajo y dominio
El grupo de trabajo es en realidad una red peer-to-peer, y el dominio es esencialmente una estructura B / S con administración centralizada.
Componentes importantes del dominio
Control de dominio DC
En la arquitectura de dominio, el controlador de dominio se utiliza para administrar todos los servidores cliente. Es responsable de la verificación de cada computadora y usuario conectados. Si las computadoras en el dominio quieren acceder entre sí, primero deben pasar por su auditoría. El controlador de dominio es el núcleo de la arquitectura de dominio y cada controlador de dominio contiene la base de datos de AD Active Directory. Puede haber al menos dos controladores de dominio en un dominio. Uno actúa como un DC y el otro actúa como un DC de respaldo. Si no hay un segundo controlador de dominio de respaldo, una vez que el controlador de dominio está paralizado, otros usuarios del dominio no pueden iniciar sesión en el dominio, porque la base de datos de Active Directory (incluida la información de la cuenta de usuario) se almacena en el controlador de dominio. Y si hay un controlador de dominio de respaldo (BDC), al menos el dominio aún se puede usar normalmente, durante el cual se puede restaurar el DC paralizado.Cuando AD se instala en una computadora del dominio, se convierte en un controlador de dominio de control de dominio.
Active Directory AD
Active Directory AD es un componente que proporciona servicios de directorio en un entorno de dominio. En Active Directory, toda la información de los objetos de red se almacena en un método de almacenamiento de datos estructurado, de modo que los administradores y los usuarios puedan encontrar y utilizar fácilmente esta información. Active Directory utiliza este método de almacenamiento de datos estructurados como base para organizar la información del directorio de manera lógica y jerárquica. Active Directory almacena información sobre objetos de red (como usuarios, grupos, computadoras, recursos compartidos, impresoras y contactos, etc.). El servicio de directorio es un servicio que ayuda a los usuarios a encontrar de manera rápida y precisa la información que necesitan del directorio. El servidor con AD Active Directory es el controlador de dominio DC.
Si la intranet de una empresa se considera un diccionario, los recursos de la intranet son el contenido del diccionario y Active Directory equivale al índice del diccionario. Es decir, Active Directory almacena accesos directos a todos los recursos de la red y los usuarios localizan los recursos buscando accesos directos. La información registrada en Active Directory se divide en dos partes, una parte se almacena en el archivo de base de datos de Active Directory NTDS.dit y la otra parte se almacena en el sistema de archivos copiado.
NTDS.dit
Las cuentas de usuario de dominio se almacenan en Active Directory en forma de base de datos de dominio. NTDS.dit es el archivo de base de datos de Active Directory. La información registrada por este archivo tiene las siguientes tres tablas:
Tabla de esquema: esta tabla contiene información sobre todos los objetos que se pueden crear en Active Directory y sus relaciones. Incluyendo varios atributos opcionales y no opcionales de varios tipos de objetos. Esta tabla es la tabla más pequeña de la base de datos de Active Directory, pero también es la tabla más básica.
Tabla de vínculos: la tabla de vínculos contiene las asociaciones de todos los atributos, incluidos los valores de atributo de todos los objetos en Active Directory. Todos los tipos de atributos de un objeto de usuario, incluido el valor de cada atributo y el grupo al que pertenece el usuario, pertenecen a esta tabla. Esta tabla es más grande que la tabla de esquema, pero más pequeña que la tabla de datos.
Tabla de datos: los usuarios, grupos, datos especiales de la aplicación y otros datos en Active Directory se almacenan en la tabla de datos. Esta es la tabla con la mayor cantidad de información almacenada en Active Directory, y una gran cantidad de datos de Active Directory se almacena realmente en esta tabla.
Ntdsutil.exe
ntdsutil.exe es la herramienta de administración de bases de datos de dominio que viene con el controlador de dominio, y viene de forma predeterminada desde Windows Server 2008. Por lo tanto, podemos extraer toda la información del usuario del dominio en el dominio mediante ntdsutil.exe.
Funciones principales de Active Directory
Gestión de cuentas centralizada: todas las cuentas se almacenan en el servidor para facilitar el cambio de nombre de la cuenta / restablecer la contraseña.
Gestión de software centralizada: software push unificado, instalación unificada de impresoras de red, etc. El uso de la estrategia de publicación de software para distribuir software permite a los usuarios elegir libremente instalar software.
Gestión del entorno centralizada: utilice AD para unificar el escritorio del cliente, IE, TCP / IP y otras configuraciones.
Seguridad mejorada: implementación unificada de software antivirus y tareas antivirus, administración centralizada de permisos de computadora de usuario, política de contraseña de usuario unificada, etc., puede monitorear la red y administración unificada de datos.
Más confiable: menos tiempo de inactividad. Por ejemplo, use AD para controlar los derechos de acceso de los usuarios y use tecnologías como la agrupación en clústeres y el equilibrio de carga para configurar la recuperación de desastres para los servidores de archivos, que es más confiable y tiene menos tiempo de inactividad.
Active Directory es la plataforma básica para la gestión unificada de Microsoft. Otros servicios ISA, Exchange, SMS y otros se basan en esta plataforma básica.
Subdirectorio AD
Contenedor integrado: El contenedor interno es
el primer contenedor creado por Active Driectory por defecto y se utiliza principalmente para almacenar grupos de seguridad locales en el dominio.
Contenedor de equipos: El contenedor de equipos es el segundo contenedor creado por Active Driectory de forma predeterminada y se utiliza para almacenar las cuentas de equipo de todos los equipos miembros en el dominio de Windows Server 2008.
Contenedor de controladores de dominio: los controladores de dominio es un contenedor especial, que se utiliza principalmente para guardar todos los subdominios y dominios auxiliares creados bajo el controlador de dominio actual.
Contenedor de usuarios: el contenedor de usuarios se utiliza principalmente para guardar los usuarios creados automáticamente por el sistema cuando se instala Active Driectory y todas las cuentas de usuario inician sesión en el controlador de dominio actual.
servidor DNS
El servidor de control de dominio requiere que el servidor DNS busque computadoras, servidores miembro y servicios de red por nombre.
Resolución de nombre de dominio: el servidor DNS resuelve el nombre de dominio en una dirección IP a través de su registro A para
ubicar el servicio de Active Directory: el cliente ubica la computadora que proporciona un determinado servicio a través del registro de servicio SRV en el servidor DNS.
Generalmente,Cuando penetramos en la red interna, localizamos el controlador de dominio buscando el servidor DNS, porque generalmente el servidor DNS y el controlador de dominio se encuentran en la misma máquina.
El registro de servicio SRV es un tipo de registro de recursos que se admite en la base de datos del servidor DNS y registra información simple, como qué computadora proporciona qué servicio.
Registro de servicio SRV
Generalmente, es una aplicación configurada para Active Directory AD. DNS puede ser independiente de Active Directory, pero Active Directory debe tener la ayuda de DNS para funcionar. Para que Active Directory funcione correctamente, el servidor DNS debe admitir registros de recursos de ubicación del servicio (SRV), que asignan el nombre del servicio al nombre del servidor que proporciona el servicio. El host de dominio y el controlador de dominio utilizan el registro de recursos SRV para determinar la dirección IP del controlador de dominio y la dirección IP del servidor que proporciona el servicio>
Arquitectura de dominio
Dominio único
En una empresa pequeña con una ubicación geográfica fija, un dominio puede satisfacer las necesidades.
Árbol de dominio
El árbol de dominio se refiere a una colección de varios dominios mediante el establecimiento de relaciones de confianza. Un administrador de dominio solo puede administrar el interior del dominio, y no puede acceder o administrar otros dominios. El acceso mutuo entre los dos dominios requiere el establecimiento de una relación de confianza (Trust Relation). La relación de confianza es un puente entre dominios. Se establece automáticamente una relación de confianza bidireccional entre el dominio principal y el dominio secundario. El dominio principal y el dominio secundario en el árbol de dominios no solo pueden administrarse entre sí según sea necesario, sino que también pueden distribuir los recursos del equipo, como archivos e impresoras, a través del red para habilitar diferentes dominios Realizar el intercambio y la gestión de los recursos de la red, así como la comunicación mutua y la transmisión de datos. En el mismo árbol de dominio, el dominio principal y el dominio secundario crearán automáticamente una relación de confianza bidireccional y la relación de confianza se puede transferir. Así es como sigue: abc.com establece automáticamente una relación de confianza bidireccional con asia.abc.com y europe.abc.com, asia.abc.com y cn.asia.abc.com y europe.abc.com y fr.asia.abc.com estableció automáticamente una relación de confianza bidireccional. Dado que la relación de confianza se puede transferir, cn.asia.abc.com y abc.com y fr.asia.abc.com y abc.com han establecido automáticamente una relación de confianza bidireccional. Sin embargo, no existe una relación de confianza entre asia.abc.com y europe.abc.com. Por lo tanto, el intercambio de datos y otras operaciones no se pueden realizar entre asia.abc.com y europe.abc.com. Si desean realizar operaciones como el intercambio de datos, deben establecer manualmente una relación de confianza entre ellos.
En un árbol de dominio, el dominio principal puede contener muchos subdominios. Los subdominios son relativos al dominio principal y se refieren a cada segmento del nombre de dominio. El subdominio solo puede usar el dominio principal como sufijo del nombre de dominio, lo que significa que en un árbol de dominio, los nombres de dominio son consecutivos.
Ventajas del árbol de dominios
1. Si las sucursales de diferentes ubicaciones geográficas están ubicadas en el mismo dominio, entonces el intercambio de información (incluida la sincronización, copia, etc.) entre ellas tomará más tiempo y ocupará un ancho de banda mayor. (Porque en el mismo dominio, hay muchos elementos de interacción de información y no están comprimidos; y entre dominios, hay relativamente pocos elementos de interacción de información y están comprimidos.
2. Las subsidiarias pueden administrarse a sí mismas a través de sus propios recursos de dominios .
3. para la estrategia de seguridad, dado que cada región tiene su propia política de seguridad única, como el departamento de finanzas de una empresa espera utilizar una política de seguridad particular (incluidas las políticas de contraseña de cuenta, etc.), puede ser financiera El departamento se convierte en un subdominio que se administrará por separado
en un árbol de dominio. El dominio principal puede contener muchos subdominios. El subdominio es relativo al dominio principal y se refiere a cada segmento en el nombre de dominio. El subdominio solo puede usar el dominio principal como el nombre de dominio. sufijo de, es decir, en un árbol de dominio, los nombres de dominio son continuos.
Bosque de dominio
Consiste en uno o más árboles de dominio que no forman un espacio de nombres continuo.Cada árbol de dominio en el bosque tiene un espacio de nombres único y no son continuos. El bosque de dominio se refiere a una colección de varios árboles de dominio mediante el establecimiento de relaciones de confianza. Los recursos de todo el bosque de dominio se pueden administrar y utilizar a través de la relación de confianza establecida entre los árboles de dominio, manteniendo así las características originales del propio dominio original. En el mismo bosque, el dominio raíz del bosque establece automáticamente una relación de confianza bidireccional con otros dominios raíz del árbol y la relación de confianza se puede transferir.
Relación de confianza de dominio
La relación de confianza entre dominios equivale a un puente de comunicación entre diferentes dominios. La confianza de dominio se divide en confianza unidireccional y confianza bidireccional. La confianza unidireccional solo puede ser utilizada por el dominio de confianza para acceder al dominio de confianza, y el dominio de confianza no puede acceder al dominio de confianza. La confianza bidireccional significa que dos dominios pueden acceder entre sí.
Confianza padre-hijo: se establece automáticamente una relación de confianza bidireccional entre el dominio padre y el dominio hijo, y la relación de confianza se puede transferir.
Confianza del árbol: en el mismo bosque, el dominio raíz del bosque establece automáticamente una relación de confianza bidireccional con otros dominios raíz del árbol. La relación de confianza se puede transmitir.
Confianza de acceso directo: una relación de confianza creada para acelerar el proceso de autenticación. El administrador debe establecerlo manualmente y la relación de confianza se puede transmitir.
Confianza del bosque: permite que diferentes bosques accedan a los recursos sin cambiar la estructura de AD. La relación de confianza se puede transmitir.
Confianza externa / confianza de acceso directo entre bosques: similar a la confianza de acceso directo dentro del mismo bosque. La relación de confianza unidireccional no se puede transferir:
confianza de dominio: la confianza existe para establecer una relación entre AD y kerberos del sistema que no es de Windows.
Principio de dominio
De hecho, puede vincular el dominio y el grupo de trabajo para comprender. Todas sus configuraciones en el grupo de trabajo, como varias políticas en la máquina local, se registran en la máquina local y la contraseña es verificada por la base de datos local. . Y si su computadora se une al dominio, el controlador de dominio establece varias políticas de manera uniforme, y el nombre de usuario y la contraseña también se colocan en el controlador de dominio para su verificación, es decir, la contraseña de su cuenta (usuario de dominio) puede estar en cualquier lugar en el mismo dominio Inicio de sesión en una computadora.
Si el grupo de trabajo es un "hotel libre", entonces el dominio es un "hotel estrella", el grupo de trabajo puede entrar y salir a voluntad y el dominio debe estar estrictamente controlado. El significado real de "dominio" se refiere a si las computadoras en la red de control del servidor pueden unirse a la cartera de computadoras. Cuando se trata de combinación, es inevitable que se requiera un control estricto. Por lo tanto, una gestión estricta es muy necesaria para la seguridad de la red. En el modo de red de igual a igual, siempre que cualquier computadora esté conectada a la red, otras máquinas pueden acceder a recursos compartidos, como carpetas compartidas. Aunque se pueden agregar contraseñas de acceso a archivos compartidos en una red de igual a igual, son muy fáciles de descifrar.
Sin embargo, en el modo "dominio", al menos un servidor es responsable de la verificación de cada computadora y usuario conectado a la red, lo que equivale a la guardia de una unidad, denominada controlador de dominio (DC).
El controlador de dominio contiene una base de datos (AD) compuesta por cuentas, contraseñas y computadoras en el dominio. Cuando una computadora está conectada a la red, el controlador de dominio debe identificar primero si la computadora pertenece al dominio, si existe la cuenta de inicio de sesión utilizada y si la contraseña es correcta. Si alguna de la información anterior es incorrecta, el controlador de dominio negará al usuario iniciar sesión desde esta computadora. Si no puede iniciar sesión, el usuario no puede acceder a los recursos protegidos por la autoridad en el servidor. Solo puede acceder a los recursos compartidos por Windows como usuario peer-to-peer, lo que protege los recursos en la red hasta cierto punto.
Para agregar una computadora al dominio, está lejos de ser suficiente para hacerlo y el servidor se "ve" entre sí en los vecinos de la red. El administrador de la red debe realizar las configuraciones correspondientes para agregar esta computadora al dominio. Solo de esta manera los archivos se pueden compartir, centralizar y unificar, y ser fáciles de administrar.