1 內網基礎

內網/局域網（Local Area Network，LAN），是指在某一區域內有多臺計算機互聯而成的計算機組，組網范圍通常在數千米以內。在局域網中，可以實現文件管理、應用軟件共享、打印機共享、工作組的日程安排、電子郵件和傳真通信服務等。內網是封閉的，可以有辦公室內的兩臺計算機組成，也可以由一個公司內的大量計算機組成。

1.1 內網滲透基礎知識

1.1.1 工作組

為了解決成千上百的電腦連接在一起組成的局域網，管理混亂問題，有了**工作組(Work Group)**概念。

例如：

有技術部和行政部，想要訪問某個部門的資源，只要在網絡點擊工作組名即可。

加入工作組方法：

如果工作組在網絡中不存在，則會新建一個（重啟生效）。如果退出工作組，修改工作組名即可。

完成后，別人可以訪問共享的資源。

工作組沒有集中管理的作用，工作組里的所有計算機都是對等的（沒有服務器和客戶機之分）。

1.1.2 域

應用場景：實現多臺電腦批量更改密碼

**域（Domain）**是一個有安全邊界的計算機集合（安全邊界的意思是，一個域中用戶無法訪問另一個域中的資源），可以看做升級版工作組，必須合法身份登錄才行（還可以對資源加用戶權限）。

**域控制器（Domain Controller，DC）**是域中的一臺類似管理服務器的計算機。域內計算機互相訪問，都要經過域控制器審核。

域控制器中存在有這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數據庫。

域中一般有如下幾個環境：

1. 單域

應用場景：一般用于地理位置固定的小公司

在一個域內至少兩臺服務器，一臺作為DC，另一臺作為備份DC。

活動目的數據庫（包括用戶的賬號信息）是存儲在DC中的，如果沒有備份DC，一但DC癱瘓了，域內其他用戶就不能登錄該域。

2. 父域和子域

第一個域成為父域，各分部的域成為該域的子域。

例如：分公司建立子域內部傳信息

3. 域樹 Tree

域樹是通過建立信任關系組成的集合。

4. 域森林 Forest

域森林（Forest）是指多個域樹通過建立信任關系組成的集合。

5 域名服務器

域名服務器（Domain Name Server，DNS）是指用于實現域名（Domain Name）和與之對應的IP地址（IP Address）轉化服務器。

從對域樹的介紹中可以看出，域樹種的域名和DNS域名池昌相似

1.1.3 活動目錄

活動目錄（Active Directory，AD）是指域環境中提供目錄服務的組件。

也就是統一管理

有以下功能：

1、賬號集中管理

2、軟件集中管理

3、環境集中管理

4、增強安全性

5、更可靠

活動目錄是微軟提供的統一管理基礎平臺，ISA、Exchange、SMS等都依賴這個平臺。

1.1.5 安全域的劃分

劃分安全域的目的是將一組安全等級相同的計算機劃入同一個網段。當攻擊時，可以盡可能地將威脅隔離，從而降低對域內計算機的影響。

虛線框表示一個安全域（也是內網絡的邊界，一般分為DMZ和內網），通過硬件防火墻的不同端口實現隔離。

DMZ稱為隔離區，為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題。

可以在DMZ放必須公開的服務器設施：Web服務器、FTP服務器等

1.1.6 域中計算機的分類

1 域控制器

用于管理所有網絡訪問，包括登錄服務器、訪問共享目錄和資源。

存儲域內所有賬戶策略信息，包括安全策略、用戶身份驗證信息 和賬戶信息。

2 成員服務器

指安裝了服務器操作系統并加入了域、但沒有安裝活動目錄的計算機。

主要提供網絡資源。

類型有：

文件服務器、應用服務器、數據庫服務器、Web服務器、郵件服務器、防護墻、遠程訪問服務器、打印服務器

3 客戶機

域中的計算機安裝了其他操作系統的計算機。

可利用域中賬戶登錄域。

4 獨立服務器

和域沒有關系。既不加入域，也不安裝活動目錄。

1.17 域內權限解讀

組（Group）是用戶賬號的集合。通過向一組用戶分配權限，就可以不必向每個用戶分配權限。

1 域本地組

主要用于授予本地域內資源的訪問權限。

2 全局組

單域用戶訪問多域資源（必須是同于個域中的用戶），只能在該全局組的雨中條件用戶和全局組，可以在域森林的任何域內指派權限。全局組可以其那套在其他組中。

3 通用組

通用組成員來自域森林中任何域的用戶賬號、安全組和其他通用組，可以在該域森林的任何域中指派權限，可以嵌套在其他組中，非常適合域森林內的跨域訪問中使用。

其保存在去哪聚編錄(GC)中。

4 A-G-DL-P策略

指將用戶賬號添加到全局組中，將全局組添加到本地組中，然后為本地組分配資源權限。

A：用戶賬號（Account）

G：全局組（Global Group）

U：通用組（Universal Group）

DL：域本地組（Domain Loacal Group）

P：資源權限（Permission，許可）

總結

以上是生活随笔為你收集整理的内网之工作组、域 分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。