Noriu/Cyber_Security_Notes
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
2ea082b75c
Cyber_Security_Notes/A. 第一阶段/07_Active Directory域服务.md
Noriu 1ebdc719d7 2024年8月23日 18:14:10
2024-08-23 18:14:12 +08:00

6.8 KiB
Raw Blame History

Active Directory域服务

一、域服务

  1. 什么是域

    将来自于网络中的多台计算机,以逻辑的方式组织到一起,实现了集中管理的环境,这种环境称为域

  2. 域控制器DC

    每个域至少有一台域控制器

  3. 活动目录简称AD

    集中管理、便捷的网络资源访问、扩展性

  4. 升级域控的条件

    • 具有本地administrator管理员权限
    • 具有足够的磁盘空间
    • TCP/IP的配置IP地址、子网掩码
    • 需DNS服务器支持
    • 本地磁盘至少有一个NTFS文件系统的分区
    • 操作系统版本必须为Windows Server版

  5. 实现域环境

    image-20240812185806924

    1. 配置Win2019网络地址

      • IP192.168.1.20/24
      • 首选DNS:127.0.0.1

    2. 安装AD活动目录

      管理 → 添加角色和功能 → 三个下一步 → Active Directory域服务 → 添加功能 → 三个下一步 → 安装

    3. 将此服务器提升为域控制器

      左侧点击AD DS → 右上角点击更多 → 将此服务器提升为域控制器

    4. ActiveDirectory域服务配置向导

      添加新林 → 根域名输入ntd.com → 下一步 → 输入目录服务还原模式的密码 → 一路下一步 → 安装

    5. 检查系统环境

      重启 → 登录系统 → 右击此电脑 → 属性 → 查看为域环境 → 关机创建快照

    6. win10客户机加入域

      image-20240812190108542

      Win10主机ping 192.168.1.20

      Win10主机nslookup ntd.com

      Win10主机右击桌面此电脑 → 属性 → 高级系统设置 → 计算机名 → 更改 → 域 → 输入域名ntd.com →

      → 确定 → 输入win2019服务上的用户名administrator及密码 → 确定 → 确定 → 重启

  6. 域用户管理

    域是集中管理的方式:(集权)用户、计算机

    默认普通域用户可以登录域中所有除DC之外的电脑

    1. 打开活动目录

      工具 → Active Directory用户和计算机

      运行 → dsa.msc

    2. 创建域用户

      ntd.com → users → 右侧空白处右击 → 新建用户

      验证新建的域用户在win10客户端主机登录

    3. 配置域用户属性

      • 登录时间:右击用户名 → 属性 → 帐户 → 登录时间
      • 登录到:右击域用户名 → 属性 → 帐户 → 登录到(配置域用户允许登录的主机)
      • 配置域用户1登录到的计算机名为PC1
      • 配置域用户2登录到的计算机名为PC2
      • 验证结果域用户1在PC1可成功登录域用户2在PC1不允许登录
      • 帐户过期:右击域用户名 → 属性 → 帐户 → 帐户过期

    4. 组织单位OU

      1. 容器:有效组织活动目录中的对象

      2. OU的设计方式

        1. 基于部门的OU

          基于地理位置的OU

          基于对象的OU

          基于混合的OU

        2. 验证创建与删除OU

          先创建OU

          然后删除OU查看提示

          查看 → 高级功能

          右击将要删除的OU → 属性 → 对象 → 取消防止意外删除的勾选

          右击将要删除的OU → 删除

    5. 域环境组策略的配置

      1. 组策略(一组策略的集和)

        可以统一修改系统、设置程序

        调整桌面环境、安全设置、自动执行脚本、软件分发

        • 验证1禁止域用户更改桌面背景

          工具 → 组策略管理

          image-20240812190818168

          右击Default DomainPolicy → 编辑 → 用户配置 → 策略 → 管理模板 → 控制面板 → 个性化 → 双击阻止更改桌面背景 → 启用

          域用户在win10客户端主机登录验证能否更改桌面背景

        • 验证2域用户登录时显示消息标题与文本

          右击Default DomainPolicy → 编辑 → 计算机配置 → 策略 → windows设置 → 安全设置 → 本地策略 → 安全选项 →

          → 交互式登录:试图登录的消标题 → 试图登录的消息文本

          域用户在win10客户端主机登录验证消息提示

        • 验证3配置默认域控制器策略用户登录时显示消息标题与文本

          工具 → 组策略管理

          image-20240813190651132

          右击Default Domain Controllers Policy → 编辑 → 计算机配置 → 策略 → windows设置 → 安全设置 → 本地策略 → 安全选项 → 交互式登录:试图登录的消标题 → 试图登录的消息文本

          注销服务器登录前弹出消息提示、对比域用户客户端主机登录消息内容的区别。

        • 组策略默认设置对象默认GPO

          默认域策略Default Domain Policy

          默认域控制器策略Default Domain Controllers Policy

二、更新策略组

在Windows Server中要更新策略组可以使用gpupdate命令。以下是gpupdate命令的一些主要参数和用法:

  1. 基本用法
    • 使用gpupdate命令可以更新计算机和用户的组策略设置。
  2. 参数
    • /target:computer:仅更新计算机策略设置。
    • /target:user:仅更新用户策略设置。
    • /force:重新应用所有策略设置,无论这些设置是否已更改。
    • /wait:<VALUE>:设置在返回到命令提示符之前等待策略处理完成的秒数。例如,/wait:0表示不等待,/wait:-1表示无限期等待。
    • /logoff:在更新组策略设置后注销。
    • /boot:在应用组策略设置后重启计算机。
    • /sync:导致下一个前台策略应用程序同步完成。
  3. 示例
    • 若要强制对所有组策略设置进行后台更新(无论这些设置是否已更改),可以使用命令gpupdate /force
  4. 注意事项
    • 默认情况下组策略可以继承和累积并影响Active Directory容器及其子容器中的所有计算机和用户。
    • 计算机启动时将应用计算机设置的组策略,而在用户登录时应用用户策略。
    • 系统会定期在后台刷新组策略默认每90分钟发生一次。