内网之windows域相关概念介绍 工作组、活动目录、域权限、域划分等

<h2><a id="_0"></a>前言</h2> <p>内网/局域网（Local Area Network，LAN），是指在某一区域内有多台计算机互联而成的计算机组，组网范围通常在数千米以内。在局域网中，可以实现文件管理、应用软件共享、打印机共享、工作组的日程安排、电子邮件和传真通信服务等。内网是封闭的，可以有办公室内的两台计算机组成，也可以由一个公司内的大量计算机组成。</p> <h2><a id="1__4"></a>1 工作组</h2> <p>为了解决成千上百的电脑连接在一起组成的局域网，管理混乱问题，有了**工作组(Work Group)**概念。</p> <p>例如：</p> <p>有技术部和行政部，想要访问某个部门的资源，只要在网络点击工作组名即可。</p> <p><img src="https://static.couragesteak.com/article/b589002057d265471b59e0615a9c6599.png" alt="windows工作组示例图" /></p> <p>加入工作组方法：</p> <p><img src="https://static.couragesteak.com/article/4b5b5ca09dcfd110d9cb568ea38370c3.png" alt="windows加入工作组" /></p> <p>如果工作组在网络中不存在，则会新建一个（重启生效）。如果退出工作组，修改工作组名即可。</p> <p>完成后，别人可以访问共享的资源。</p> <p>工作组没有集中管理的作用，工作组里的所有计算机都是对等的（没有服务器和客户机之分）。</p> <h2><a id="2__26"></a>2 域</h2> <p>应用场景：实现多台电脑批量更改密码</p> <p>**域（Domain）**是一个有安全边界的计算机集合（安全边界的意思是，一个域中用户无法访问另一个域中的资源），可以看做升级版工作组，必须合法身份登录才行（还可以对资源加用户权限）。</p> <p>**域控制器（Domain Controller，DC）**是域中的一台类似管理服务器的计算机。域内计算机互相访问，都要经过域控制器审核。</p> <p>域控制器中存在有这个域的账户、密码、属于这个域的计算机等信息构成的数据库。</p> <p><font face="楷体,华文行楷,隶书,黑体" color="red" size="4"><strong>哈喽，大家好，我是[有勇气的牛排]（CSDN/公众号同名）🐮🐮🐮</strong></font></p> <p><font face="楷体,华文行楷,隶书,黑体" color="blue" size="4"><strong>有问题的小伙伴欢迎在文末[评论，点赞、收藏]是对我最大的支持！！！。</strong></font></p> <p>域中一般有如下几个环境：</p> <h3><a id="21__42"></a>2.1 单域</h3> <p>应用场景：一般用于地理位置固定的小公司</p> <p>在一个域内至少两台服务器，一台作为DC，另一台作为备份DC。</p> <p>活动目的数据库（包括用户的账号信息）是存储在DC中的，如果没有备份DC，一但DC瘫痪了，域内其他用户就不能登录该域。</p> <h3><a id="22__50"></a>2.2 父域和子域</h3> <p>第一个域成为父域，各分部的域成为该域的子域。</p> <p>例如：分公司建立子域内部传信息</p> <h3><a id="23__Tree_56"></a>2.3 域树 Tree</h3> <p>域树是通过建立信任关系组成的集合。</p> <p><img src="https://static.couragesteak.com/article/a1e2b9abb9e020e91200f829e43d67ab.png" alt="windows域树" /></p> <h3><a id="24__Forest_62"></a>2.4 域森林 Forest</h3> <p>域森林（Forest）是指多个域树通过建立信任关系组成的集合。</p> <p><img src="https://static.couragesteak.com/article/93e35875a6c802cd5eb135ace4586cb8.png" alt="域森林 Forest" /></p> <h3><a id="25__68"></a>2.5 域名服务器</h3> <p>域名服务器（Domain Name Server，DNS）是指用于实现域名（Domain Name）和与之对应的IP地址（IP Address）转化服务器。</p> <p>从对域树的介绍中可以看出，域树种的域名和DNS域名池昌相似</p> <h2><a id="3__74"></a>3 活动目录</h2> <p>活动目录（Active Directory，AD）是指域环境中提供目录服务的组件。</p> <p>也就是统一管理</p> <p>有以下功能：</p> <p>1、账号集中管理</p> <p>2、软件集中管理</p> <p>3、环境集中管理</p> <p>4、增强安全性</p> <p>5、更可靠</p> <p>活动目录是微软提供的统一管理基础平台，ISA、Exchange、SMS等都依赖这个平台。</p> <h2><a id="4__94"></a>4 安全域的划分</h2> <p>划分安全域的目的是将一组安全等级相同的计算机划入同一个网段。当攻击时，可以尽可能地将威胁隔离，从而降低对域内计算机的影响。</p> <p>虚线框表示一个安全域（也是内网络的边界，一般分为DMZ和内网），通过硬件防火墙的不同端口实现隔离。</p> <p><img src="https://static.couragesteak.com/article/57651a9ee594cd17ade021a94e140534.png" alt="windows安全域的划分" /></p> <p>DMZ称为隔离区，为了解决安装防火墙后外部网络不能访问内部网络服务器的问题。</p> <p>可以在DMZ放必须公开的服务器设施：Web服务器、FTP服务器等</p> <h2><a id="5__106"></a>5 域中计算机的分类</h2> <h3><a id="51__108"></a>5.1 域控制器</h3> <p>用于管理所有网络访问，包括登录服务器、访问共享目录和资源。</p> <p>存储域内所有账户策略信息，包括安全策略、用户身份验证信息 和账户信息。</p> <h3><a id="52__114"></a>5.2 成员服务器</h3> <p>指安装了服务器操作系统并加入了域、但没有安装活动目录的计算机。</p> <p>主要提供网络资源。</p> <p>类型有：</p> <p>文件服务器、应用服务器、数据库服务器、Web服务器、邮件服务器、防护墙、远程访问服务器、打印服务器</p> <h3><a id="53__124"></a>5.3 客户机</h3> <p>域中的计算机安装了其他操作系统的计算机。</p> <p>可利用域中账户登录域。</p> <h3><a id="54___130"></a>5.4 独立服务器</h3> <p>和域没有关系。既不加入域，也不安装活动目录。</p> <h2><a id="6__134"></a>6 域内权限解读</h2> <p>组（Group）是用户账号的集合。通过向一组用户分配权限，就可以不必向每个用户分配权限。</p> <h3><a id="61__138"></a>6.1 域本地组</h3> <p>主要用于授予本地域内资源的访问权限。</p> <h3><a id="62__142"></a>6.2 全局组</h3> <p>单域用户访问多域资源（必须是同于个域中的用户），只能在该全局组的雨中条件用户和全局组，可以在域森林的任何域内指派权限。全局组可以其那套在其他组中。</p> <h3><a id="63__146"></a>6.3 通用组</h3> <p>通用组成员来自域森林中任何域的用户账号、安全组和其他通用组，可以在该域森林的任何域中指派权限，可以嵌套在其他组中，非常适合域森林内的跨域访问中使用。</p> <p>其保存在去哪聚编录(GC)中。</p> <p><a href="https://www.couragesteak.com/article/36" target="_blank">https://www.couragesteak.com/article/36</a></p> <h3><a id="64_AGDLP_154"></a>6.4 A-G-DL-P策略</h3> <p>指将用户账号添加到全局组中，将全局组添加到本地组中，然后为本地组分配资源权限。</p> <p><code>A</code>：用户账号（Account）</p> <p><code>G</code>：全局组（Global Group）</p> <p><code>U</code>：通用组（Universal Group）</p> <p><code>DL</code>：域本地组（Domain Loacal Group）</p> <p><code>P</code>：资源权限（Permission，许可）</p>