一、概述

1、工作组：将不同的计算机按功能(或部门)分别列入不同的工作组

(1)、查看（windows）

• 查看当前系统中所有用户组：打开命令行--》net localgroup
• 查看组中用户：打开命令行 --》net localgroup 后接组名
• 查看用户所属组：打开命令行 --》net user 后接用户名

(2)、加入/创建(windows)

• 用户加入工作组：此电脑属性--》更改设置，命令行--》net localgroup 组名 用户名

(3)、优缺点

• 优点：资源、访问权限共享
• 缺点：缺乏集中管理与控制，只适合小规模用户使用

(4)、本地工作组

• 本地最高管理员权限administrator
  • 用户的SID 最后一位是500
  • 查看当前系统所有用户SID：wmic useraccount get name,sid
  • 默认在administrators组中
• 本地普通管理员权限：加入了administratorts组但不是administrator的用户
  • 虽然也是管理员，但是有些操作也是执行不了的，因为有UAC认证

2、域：有安全边界的计算机集合

注：安全边界：在两个域中，一个域中的用户不能访问另一个域中的资源

(1)、特点：账号集中管理，所有帐号均存在服务器上

(2)、相关概念

• 域控(DC)：用于管理所有客户端的服务器，负责接入的主机和用户的认证工作。
  • 类似于公司中的门禁系统，会根据你的身份信息，来允许或阻止进入哪个房间。
  • 在域环境中可以存在多个DC，一个作为主DC，其他为备份DC
• 父域与子域：在网络中划分多个域。第一个域称父域，各分部的域称该域的子域
  • 类比：若父域是域名中的二级目录，那子域就是域名中的三级目录
  • 父域和子域之间默认是信任的
  • 父域和子域之间可以有同名的用户存在
• 域树：若干个域通过建立信任关系而组合成新的集合
  • 类比：域名中的多级目录
  • 域树中，域层次越深，级别越低
• 域林：多个域树通过建立信任关系组成的集合
  • 类比：一个公司的两个不同的二级目录
• 活动目录(AD)：用于存储和组织网络中的对象（例如用户、计算机和组），并提供对这些对象的集中管理和访问控制。
  • 类比：若内网是一个字典，那么内网里的资源就是字典内容，活动目录相当于字典的索引

二、域环境搭建(windows server2012)

1、设置服务器，设置IP配置

2、更改计算机名(更改后需重启)(不更改也行，要能记住)

3、安装DC和DNS服务器

4、配置服务器(没提到的保持默认)

注：可以在记事本上记录，以防忘记，server2012：

• 计算机名：125e
• DC根域名：hack.com
• 加入DC身份认证密码：125e@Hack
• 账号：administrator

5、域内搭建主机(win7)

注：双方能ping通，不然加入不了域环境

(1)、设置IP

(2)、server2012添加域用户

(3)、win7修改计算机名，加入域环境

注：win7：

• 计算机名：win7
• 域用户：xlj
• 账号：win7
• 密码：Win@1234

(4)、重启，输入创建的域账号和密码登录

(5)、CMD运行whoami，前面多了域名，即成功加入域内

注：在server上添加用户，需要解锁账户

三、域内权限

1、组账号

• 域本地组：其成员可以来自任意域，但只能访问本域的资源
  • 类比：工作组的普通用户
  • 想进行一些操作时，需要进行身份认证
• 全局组：其成员只能来自本域，但可以访问域林中任何资源
• 通用组：其成员可以来自任意域，且可以访问域林中的任何资源

2、A-G-DL-P策略：指将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

• A：用户账号
• G：全局组
• U：通用组
• DL：域本地组
• P：资源权限