深入认知域环境的类型和组成

在一个大型单位中，可能有成百上千台计算机互联组成局域网，如果不对其进行分组和同一管理，整个网络将十分混乱，进行计算机划分管理十分有必要，下面详细介绍一下计算机域环境的划分

常见划分计算机的方式有工作组和域两种，要注意工作组和域只能二选一，并且 Windows 家庭版无法使用域功能

简单管理单位计算机可以使用工作组，通过将不同的计算机按照功能或部门划分到不同的工作组，便可以通过网络共享功能访问同一部门下的资源，便于数据共享

工作组（workgroup）就是一个可以随意进出的社团，方便小组成员互相访问，所有工作组成员都是对等的，属于去中心化，没有集中管理功能

创建和加入工作组的方法很简单，计算机默认都属于工作组 WORKGROUP，如果将工作组名称修改为网络内不存在的工作组名，则是新增一个工作组；如果将工作组名修改为网络内已有的其他工作组，则是加入该工作组。修改后需要重新启动，再次进入网络后便可以看到工作组其他成员了

在系统设置中可以打开域和工作组，点击更改计算机信息可以修改计算机名和所属工作组

开启网络和共享功能后，在计算机网络中可以看到同一局域网下同工作组的其他主机设备，双击便可以看到他们共享的文件

如果想要共享本机电脑的某个文件给工作组其他主机访问，只需要在文件属性中开启共享，其他用户便能访问该文件

工作组可以很便捷的在局域网中共享数据，如果不希望本机电脑被轻易发现，也可以关闭网络和共享功能，或者修改所属工作组

如果单位需要一个计算机账户 Jack 能管理网络中的 500 台计算机，使用工作组则需要在 500 台计算机中都新建账户 Jack，一旦后续想要修改该账户密码则需要修改 500 次。针对这种情况就可以搭建域环境，通过一个统一的中心进行管理

域（domain）是一个有安全边界的计算机集合，不像工作组能随意进出，用户想要访问域内资源必须以合法身份登录域，并且用户可访问的资源量还取决于用户在域内的身份。每个域中都有一个域控制器进行同一管理

活动目录

活动目录（Active Directory，AD）是域环境中提供目录服务的组件

AD库指存储活动目录数据的分层式数据库，包括用户、计算机、组织单位等对象的属性数据，AD库是活动目录的基础，为活动目录提供了数据存储和访问的支持。和传统关系型数据库使用表结构保存数据库不同，AD库采用了目录服务特有的数据模型和结构，通过树状结构组织和存储数据，便于域的扩展

目录服务指帮助用户快速、准确的从目录（AD库）中找到所需信息和服务，活动目录实现了目录服务，为企业提供统一的身份验证、访问控制和资源管理等集中式管理功能

活动目录对用户访问域内网络资源提供很大的便捷：

• 普通用户可以通过活动目录很容易的找到并且使用网络上的各种资源
• 管理员可以通过活动目录对网络上的所有资源进行集中管理，可以控制用户在不同计算机上对不同资源的访问

在域内活动目录主要提供一下功能：

• 账号集中管理：所有账号存储在服务器中，以便执行命令和重制密码
• 软件集中管理：通过组策略统一推送软件、安装网络打印机等
• 环境集中管理：统一客户端桌面、IE、TCP/IP协议等设置
• 增强安全性：统一部署杀毒软件和病毒扫描任务，集中管理计算机权限，统一指定安全策略等

在域控计算机服务器管理器右上角工具中点击Active Directory 管理中心便可打开活动目录管理菜单

域控制器

域控制器（Domain Controller，DC）是承载活动目录服务（AD）的服务器，也就是说如果域中一台计算机安装了活动目录，那么它就会变为域控制器

域控制器是由于安装了活动目录，便相当于部署了存储所有域内账户、密码、计算机等信息的数据库。域控同时还负责所有连入计算机和用户的验证工作，域内所有权限身份认证都在域控制器上进行，域控制器相当于整个域的交通枢纽

在一个域内至少要部署两台域控，通常会有一个主要的域控制器（Primary Domain Controller，PDC）和多个辅助域控制器（Additional Domain Controller，ADC）。PDC是域内的主要控制器，负责处理大部分的域操作，而ADC则是辅助控制器，用于提供冗余和负载均衡

在多个域控制器之间，活动目录数据库会通过复制机制进行同步。域控制器之间会定期复制数据，以确保各个域控制器上的活动目录数据库保持一致。这样即使某个域控制器出现故障，其他域控制器仍然可以提供服务。

总的来说，在一个域内可以安装多个活动目录域控制器，它们会共同存储活动目录数据库，并通过复制机制保持数据的一致性。这样可以提高系统的可靠性和性能，确保域内服务的稳定运行

DNS服务器

DNS（Domain Name System）服务器是一种网络服务器，用于将域名解析为相应的IP地址

DNS服务器通常存储着一个域名与IP地址之间的映射表，当用户在浏览器中输入一个域名时，计算机会向DNS服务器发送查询请求，DNS服务器则会返回相应的IP地址。这个过程被称为域名解析

除了将域名解析为IP地址，DNS服务器还可以提供其他功能，如负载均衡、反向解析、DNS缓存等。在企业网络中，DNS服务器通常用于管理内部域名解析、提供局域网内的域名服务等

活动目录是按区域进行资源管理的，各区域的命名规则与DNS的命名规则相同，因此活动目录必须要有DNS服务的支持，借助DNS服务的域名解析，达到使用域名访问该域中计算机资源的目的

在一个域中，通常会选择一台或多台专门负责域名解析的计算机作为DNS服务器，常见的选择有：

1. 域控制器：域控制器通常会兼具域控制服务和DNS服务的功能，每个域控制器都会自动安装DNS服务器角色。在简单的域环境中就只有域控这一个DNS服务器，这种情况可以通过查找DNS服务器定位域控
2. 专用DNS服务器：较复杂的域环境中会单独部署专用的DNS服务器来提供域名解析，这些服务器可能会运行其他服务，但其主要职责是提供高效稳定的DNS服务，确保域内计算机能够正确地解析域名
3. 辅助DNS服务器：为了提高DNS服务的可靠性和容错能力，域中通常会配置多台DNS服务器，并将它们设置为互相备份的辅助DNS服务器。这样即使一台DNS服务器发生故障，其他DNS服务器仍然可以提供服务，确保域内计算机的正常通信

域成员组成

与工作组不同，域内计算机身份是不平等的，有以下四种类型：

• 域控制器：安装了活动目录的服务器，用于管理所有网络访问和身份验证，存储了域内所有的账户和策略信息
• 成员服务器：没有安装活动目录的服务器，主要用于提供网络资源，通常由文件服务器、应用服务器、Web服务器、邮件服务器、打印服务器等
• 客户机：可以理解为个人终端，非服务器操作系统的个人电脑，使用域用户账号通过安全验证后便可以访问域中的各种资源
• 独立服务器：未加入域也未安装活动目录的服务器，可以是Linux服务器，或者仅使用工作组的Windows服务器

一个域中必须要有域控，其他三种计算机可以没有。域中各服务器角色可以改变，独立服务器可以加入某个域成为成员服务器，也可以更改域环境配置更改域控服务器

单域

单域就是只建立了一个域，没有多个域之间的数据和资源交互

通常，在一个地理位置固定的小公司，建一个单域就能满足需求，由域控管理整个域

父域和子域

如果一家大公司下有多家分公司，各公司位于不同的地点，避免放在同一个域中跨地理位置信息交互花费时间过多，建立父域和子域进行管理更为合适

在网络中划分多个域，第一个域称为父域，其他各分部的域称为该域的子域

建立父域和子域，不但能实现域内资源共享，子域还能自行管理域资源，设置特定的安全策略

通常每个子域内部都会设置至少一个域控制器，但也并非每个子域都必须要有自己的域控制器，有时候可以通过在不同子域间共享域控来实现资源共享和管理

多域结构中不同域控之间需要进行信息同步，域控制器之间会周期性地进行信息同步，确保数据的一致性

域树

域树（Tree）指多个域通过建立信任关系组成的集合

一个域树中，子域和父域是相对的，父域可以包含多级子域，子域只能使用父域的名字作为域名的后缀，例如父域为 a.com，那么子域就只能是 xxx.a.com，子域的下级子域域名只能为 xx.xxx.a.com

域树内的父域和子域，可以按照需要互相管理，并且可以实现网络资源的共享与管理、通信和数据传输

域森林

域森林（Forest）指多个域树通过建立信任关系组成的集合

常见于某大型公司使用域树 a.com，兼并了使用域树 b.net 的公司，由于 b.net 无法直接挂载在域树 a.com 下，因此需要通过建立信任关系组成域森林

通过域树间的信任关系，可以管理和使用整个域森林中的资源，并且保留被兼并公司原有特性

域信任关系（Domain Trust Relationship）是指在 Active Directory 环境中，不同的域之间建立的一种信任关系，用于实现跨域的访问和资源共享两个域之间必须要有信任关系，才能访问对方域内资源。

域信任关系具有方向性，域信任方向主要有以下几种：

• 单向信任：指两个域之间建立的单向信任路径，如果A域信任B域，那么A域资源可以分配给B域用户，但B域资源不能分配给A域用户
• 双向信任：指两个域之间建立的双向信任路径，A域和B域互相信任，允许双方域中的主体互相访问资源

域信任关系也可以分为内部信任和外部信任两种：

• 内部信任：指同一个域林中的域信任关系。活动目录中所有域信任关系都是双向可传递的，在使用活动目录将新域添加到域中时，会在子域和父域之间自动创建双向可传递信任关系，从下级域发处的身份验证请求可以通过其父域向上流向信任域。同时同一个域林中的多个域之间的信任关系也可以传递，如下图所示

• 外部信任：指两个不同林的域信任关系。外部信任是一种单向信任关系，只允许一个域信任另一个域，但不会将信任传递给其他域。建立外部信任需要管理员手动配置且跨越组织边界，需要更多的管理和安全考虑

域控制器使用以下两种协议对用户和应用程序进行身份验证：

• Kerberos version 5（V5）：是一种网络认证协议。当用户尝试登录到域中的计算机时，域控制器会使用Kerberos协议来验证用户的身份。用户提供用户名和密码，域控制器生成加密的票据（Ticket）来证明用户的身份，并返回给用户，用户可以在后续访问资源时使用该票据来获取访问权限
• NTLM：是一种旧的Windows身份验证协议，在NTLM协议中，用户提供用户名和密码，域控制器会将密码的哈希值与存储在域控制器上的哈希值进行比对来验证用户的身份。安全性相较于Kerberos协议较低

上述两种协议在域内横向渗透时会接触到，以后会详细介绍

域用户

配置域环境，在计算机成为域控后，该主机上的所有账号将变为域账号，这些账号禁止以本地登录的方式登录，可以登录除域控外的其他域内主机

域控上的所有用户均可以登录域中的任意一台主机，域内普通主机上的用户只能以本地身份登录该主机，也就是只有创建在域控主机上的用户才能进行域登录

域控禁止以本地身份登录，只能以域用户登录，并且只允许域控管理员登录，域控上所有Administrator组用户都是域管理员

如果想在域控或其他主机上添加域用户，甚至加到域管理员组，需要在该域成员主机上以域管理员权限登录，然后执行下面的指令

1
2

net user test 123456 /add /domain							# 添加域用户test，密码为123456
net group "domain admins" test /add /domain		# 将域用户test添加到域管理员组

域内主机登录方式有上面提到的两种：

• 以本地用户登录：通过SAM来进行NTLM认证，登录名为用户名
• 以域用户登录：通过Kerberos协议认证，登录名为“域名\用户名”或者“用户名@域名”

组的作用域

组（Group）是用户帐号的集合，分配权限时给不同的安全组分配不同的权限，在给单个用户添加特定权限时只需要将用户添加到对应的组中。使用安全组配置权限而不是单个用户，可以大大简化网络维护和管理工作

在域控上新建组时可以看到域权限组有作用域和类型的划分

从类型上主要分为：

• 安全组：拥有安全标识（SID），可以分配安全权限，授权本地资源和网络资源的访问
• 通讯组：没有安全标识（SID），通常用于电子邮件和共享信息等通讯目的

从作用域上可以分为：

• 域本地组：多域用户访问单域资源，也就是可以添加域森林中的任何域用户到域本地组，但分配的权限只能是当前所在域的权限，简要理解就是给任意域用户分配当前域内权限。域本地组主要用于授权当前域内资源访问权限。域本地组可以包含来自同一域的用户、全局组和通用组，同时不可以被其他作用域包含
• 全局组：单域用户访问多域资源，也就是添加到全局组的成员只能时当前域的域用户，但是可以给其分配域森林中任意域的权限，简要理解就是给当前域用户分配任意域内权限。全局组只能包含来自同一域的用户，但可以包含其他域的全局组
• 通用组：多域用户访问多域资源，添加到通用组的成员可以是来自域森林中任意域的域用户，并且可以分配任意域的权限，简要理解就是给任意域用户分配任意域内权限，非常适合用于域森林的跨域访问。通用组可以包含来自统一林中任何域的用户、全局组和其他通用组

域本地组和全局组成员都是保存在各自域的域控上，而通用组成员保存在全局编录（GC）中，发生任何变动都会全局复制

全局编录通常用于存储一些不经常变化的信息，可以理解为开发中的全局常量。由于用户账号信息经常变更，因此用户账号通常是先添加到全局组中，再将这些相对稳定的全局组添加到通用组

A-G-DL-P策略

A-G-DL-P策略是一种常用于Windows Server中的权限管理策略，分别代表以下几个元素：

• A（Account）：用户账户
• G（Global group）：全局组
• DL（Domain local group）：域本地组
• P（Permission 许可）：资源权限

A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组，然后为域本地组分配资源权限，以帮助管理员有效地管理和分配权限，提高系统的安全性和可管理性

详细的实现步骤如下：

1. 设置用户，不用分配权限：给公司每个成员和相应服务建立用户
2. 对用户进行分组：按照不同部门或者不同服务功能进行分组
3. 根据分组结果建立全局组，并把用户加入到全局组中：
4. 建立域本地组，并分配权限：根据网络资源的不同建组，如根据销售部域本地组分配

基于A-G-DL-P策略进行Windows权限管理就会便捷很多

划分安全域的目的是将一组安全等级相同的计算机划入同一网段，这个网段内的计算机拥有相同的网络边界，并在网络边界上通过防火墙实现对其他安全域的访问控制

一个典型的中小型内网安全域划分如下，主要划分为外网、DMZ和内网三个安全域，安全等级依次增加

DMZ称为隔离区，作为外网和内网之间的一个安全缓冲区，位于内外网之间

DMZ中可以放置一些必须公开的服务器设施，如企业门户网站Web服务器、FTP服务器、论坛等，主要对外提供访问服务

在配置DMZ区网络时，通常会定义如下访问策略：

• 内网可以访问外网：内网用户可以自由访问外网，适用于内网办公电脑访问互联网查阅数据
• 内网可以访问DMZ：内网用户可以访问和管理DMZ区服务器
• 外网禁止访问内网：防火墙基本策略，内网存储关键数据，禁止外网直接访问
• 外网可以访问DMZ：外网可以访问DMZ区对外提供的服务，需要防火墙完成服务器公网地址到服务器实际地址的NAT转换
• DMZ禁止访问内网：防止DMZ区被攻陷后作为跳板攻击内网
• DMZ禁止访问外网：根据实际业务需求配置，禁止访问外网可以防止DMZ被攻陷后用来反向连接外网

内网根据业务可以划分为以下两个区域：

• 办公区：公司员工日常工作区域，一般可以访问DMZ区和外网，会安装防病毒软件、主机入侵产品等。由于办公区人员多而杂，办公终端缺乏管理，可能存在诸多漏洞，是攻击者在内网横向攻击的主要跳板之一
• 核心区：存储企业最重要的数据和文档，通过防火墙、安全审计、日志记录等安全策略和设备进行严密防护，在防火墙会做严格的安全策略，一般仅允许内网部分主机访问。外网很难直接访问核心区，能直接访问核心区的只有运维人员和IT部门主管主机，横向移动时可以优先查找这些主机

一般企业为了网络的安全性，都会进行安全域划分，突破安全域是开展内网域渗透的前提，需要我们对网络拓扑有个较为清楚的认知

参考文章：

• 《内网安全攻防 渗透测试实战指南》
• Windows网络服务与配置管理之活动目录学习-腾讯云开发者社区-腾讯云
• 域控-笔记二（域权限，域组，域管理，Kerberso 协议）_域控管理-CSDN博客
• 利用A、G、DL、P策略来管理网络资源访问权限-CSDN博客