一.什么是域

Windows域是计算机网络的一种形式，其中所有用户帐户，计算机，打印机和其他安全主体都向位于一个或多个中央计算机群集（域控制器）上的中央数据库注册。通过域用户登录域内主机，需要通过域控制器的验证。 在域内使用计算机的每个人都会收到一个唯一的用户帐户，然后可以为该用户帐户分配对域内资源的访问权限。 从Windows Server 2000开始，Active Directory是Windows组件，负责维护该中央数据库。 Windows域的概念与工作组相反，在工作组中，每台计算机都维护自己的安全主体数据库。

1.1为什么存在

假设有一个公司，有20台电脑。现在有一个需求，需要某个账号能够访问这20台电脑上的资源或者直接登录计算机。那么，在工作组环境中(每台主机都是相互独立的)就需要在这20台电脑上创建一个用户，用户名、密码都相同，并且设置好相关的权限。为了安全考虑，公司规定，用户密码需要三个月修改一次，那么每到这个时间，就需要重复这种乏味繁琐的事情。若公司存在200台电脑，又会如何？所以在这种场景中，域环境就显得十分便捷高效。

1.2域环境能做什么

1.帐号集中管理，所有帐号均存在服务器上，方便对帐号的重命名/重置密码，同时控制用户在域环境的资源访问权限的控制。

2.软件集中管理利用软件发布策略分发软件，可以让用户自由选择安装软件

3.环境集中管理利用AD可以统一客户端桌面，IE，TCP/IP等设置。限制因误操作导致的安全问题，如：禁止加载U盘，

4.控制网络，员工不能想干嘛就干嘛，可提高员工的工作效率

5.网络比较的安全，资料统一管理不易丢失或者不易被窃

6.监控网络，使网络速度合理分配，

7.统一部署杀毒软件和扫毒任务，避免电脑系统经常崩溃，既节省开支，又不影响工作

等

二.域中相关概念

2.1域控制器(Domain Controller,DC)

是指在计算机网络域内响应安全身份认证请求的网络服务器，负责允许发出请求的主机访问域内资源，以及对用户进行身份验证，存储用户账户信息，并执行域的安全策略。

域控制器就可以理解为公司的门禁系统。它能根据你身份信息，来阻止或允许你前往那个办公室，访问那个资料室。

域控制器中存在一个数据库(活动目录数据库NTDS.dit)文件，数据库中保存了该域中的用户的账号、密码、域中计算机等信息。

当域用户登录计算机连接到域时，DC首先会鉴别这台计算机是否属于域，以及用户使用的登录账号是否存在、密码是否正确。只要出现一个错误，域控就会拒绝用户的登录请求。

把网络中众多的对象（被称之为AD对象）：计算机，用户，用户组，打印机，共享文件夹...分门别类，井然有序地放在一个大仓库中，并做好检索信息，以便查找，管理和使用这些对象（资源）。这个有层次结构的数据库，就是活动目录数据库，简称AD库。

2.2域种类

1.单域

顾名思义，整个网络环境就只有一个域。主机群位于同一地理位置，且无特殊需求。在域环环境中可以存在多个域服务器，一个作为主域控制服务器，其他作为备份DC。这样可以避免，因为主域控制服务器瘫痪，导致活动目录数据库无法使用，影响整个域环境中用户的登录。存在备份DC时，将瘫痪的DC恢复就可以恢复正常使用。

2.多域

多域就是说有多个域环境，每个域都有自己的DC

3.父域和子域

出于管理或者其他的需求，在网络中划分多个域。第一个域称为父域(xxx.com)，各部分的域称为该域的子域(caiwu.xxx.com)。如公司本部与各个分部不在同一地理位置，如果把整个公司都放在一个域内，那么进行信息交互(包括同步、复制等)上花费的时间就会较长，占用带宽也会较大(同域内，信息交互条目很多，且不压缩；在不同域，信息交互条目相对少，可压缩)。好处在于，各子域可以自己管理自己域中的资源。

父域与子域之间默认是信任的

不同域中的用户不能在不同域中登陆，但信任域中任何用户都在任何信任域中的客户机中登陆到自己域中。

域控制器间进行活动目录复制的时候，不会复制活动目录分区中的域分区(保存用户等相关信息)，故不能互相登录

在父子域中可以有同名的用户名存在。

在默认情况是不能相互登陆的，但是做了全局组后，父域用户是可以登陆到子域里的。这是一种继承关系，向下继承。

4.域树

树中的域通过信任关系连接起来，活动目录包含一个或多个域树。域树中的域层次越深级别越低，一个“.”代表一个层次，如域123.abc.com 就比 abc.com这个域级别低，因为它有两个层次关系，而abc.com只有一个层次。他们都属于同一个域树。Child.Microsoft.com就属于Microsoft.com的子域。

5.域林

域林是指由一个或多个没有形成连续名字空间的域树组成域树集合，如下图所示。域林与域树最明显的区别就是，域林中的域或域树之间没有形成连续的名字空间，而域树是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。

2.3活动目录(Active Directory,AD)

Active Directory是微软Windows Server中，负责架构中大型网路环境的集中式目录管理服务（Directory Services），Windows 2000 Server开始内建于Windows Server产品中，它处理了在组织中的网路物件，物件可以是计算机，用户，群组，组织单元（OU）等等，只要是在Active Directory结构定义档（schema）中定义的物件，就可以储存在Active Directory资料档中，并利用Active Directory Service Interface来存取。

形象的理解为内网是一个字典，那么内网里的资源就是字典内容，活动目录相当于字典的索引。也就是，活动目录存储的是网络中所有资源的快捷方式，用户可以通过寻找快捷方式来定位资源。

活动目录主要提供的功能就是域环境能做什么。所以，一定程度上，域环境的实现就是要安装AD，而安装了AD的服务器就叫做DC。

三.域环境的搭建

3.1设置服务器

首先设置Windows server 2012服务器的IP配置

3.2更改计算机名

使用本地管理员账户登录,将计算机名改为"DC"(可以随意取名),如图所示。在将本机升级为域控制器后,机器全名会自动变成"DC.xxx.com"。更改后需要重启服务器

安装域控制器和DNS服务

接下来,在 Windows server2012R2服务器上安装域控制器和DNS服务。

单击【添加角色和功能】选项,进入添加角色和功能向导界面。在【开始之前】部分, 本 保持默认设 置。单击下一步按钮,进入【安装类型】部分,选择基于角色或者基于功能的 安装选项。单击下一步按钮,进入【服务器选择】部分。目前,在服务器池中只有当前这 台机器,保持默认设置。单击下一步按钮,在【服务器角色】部分勾选【 Active Directory域 服务】和【DNS服务器】复选框

3.3升级服务器

接着,进人" ActiveDirectory域服务配置向导"界面,在"部署配置"部分单击选中"添加新林(F)"

单选按钮,然后输入根域名"abc.com"(必须使用合DNS命名约定的根域名)

此处密码任意输入（但是要满足密码复制度）

安装后,需要重新启动服务器，最后升级为域控，服务器重新启动后,需要使用域管理员账户(abc\Administrator)登录。此时,在"服务器管理器"界面中就可以看到AD DS、DNS服务了

3.4域内主机搭建

进行域成员的IP配置，然后运行"ping abc.com"命令进行测试。

3.5加入域

在域控中新增一个域用户

修改Win7的域名为：abc.com

这里的用户名和密码为，登录Windows server 2012的账户密码

重启后，使用刚刚添加的域用户账号密码进行登录，这样就加入了域内

CMD运行whoami时，前面多了个域名，此时成功的加入了域内

四. 域内权限解读

4.1域本地组

机器加入到域，使用域内的用户进行登录，域内用户的信息存放在域控（DC）上，添加用

户或者修改密码登操作都在域控上执行

将用户张三（域帐号Z3）加入到域本地组administrators中，并不能使Z3对非DC的域成员计算机有任何特权，但若加入到全局组Domain Admins中，张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。

4.2 全局组

单域用户访问多资源（必须是一个域里面的用户）

可以全局使用。即：可在本域和有信任关系的其它域中使用，体现的是全局性。

全局组和域本地组的关系，与域用户账号和本地账号的关系类似。域用户账号可以在全局使用，即在本域和其他关系的其他域中都可以使用，而本地账号只能在本机中使用。例如：将用户张三(Z3)添加到域本地组 Administrators 中，并不能使Z3对非DC的域成员计算机拥有任何特权。但若将Z3添加到全局组Domain Admins中，用户张三就成为了域管理员了(可以在全局使用，对域成员计算机拥有特权)。

4.3 通用组

通用组是集合了上面两种组的优点，即可以从任何域中添加用户和组，可以嵌套于其他域组中。

比如： 在A和B域中都各建立一个全局组（G），然后在B域中建立一个域本地组DL，把这两个G都加入B域中的DL中，然后把FINA的访问权赋给DL。哈哈，这下两个G组都有权访问FINA文件夹了，这就是A-G-DL-P。

注：A表示用户账号，G表示全局组，U表示通用组，DL表示域本地组，P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

本地域组的成员可以来自所有域的用户和组，但其作用域只能是当前域。全局组的成员只能来自当前域的用户和组，而作用域可以是所有的域。

打个比方，现在有两个域domainA,domainB,用户UseA,UseB. 在DomainA上有一个文件夹Resource.UseB属于domainB,他想访问Resource.
这个时候就应该先在domainB上建一个全局组GlobalB,然后将UseB加入GlobalB,然后到Domain域中建立一个域本地组LocalA,将全局组GlobalB加入域本地组LocalA,再针对域本地组LocalA授权对Resource的访问权限。

4.4 A-G-DL-P策略

A-G-DL-P策略是指将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

A 表示用户账号(Account)

G 表示全局组(Global Group)

U 表示通用组(Universal Group)

DL 表示域本地组(Domain Local Group)

P 表示资源权限(Permission)

按照A-G-DL-P策略对用户进行组织和管理是非常容易的。在A-G-DL-P策略形成以后，当需要给一个用户添加某个权限时，只要把这个用户添加到某个域本地组中就行了。

4.5几个比较重要的域本地组

管理员组(Administrators)：该组的成员可以不受限制地存取计算机/域内的资源。它不仅是最具权利的一个组，也是在活动目录和域控制器中默认具有管理员权限的组。该组的成员可以更改 Enterprise Admins、Schema Admins 和 Domain Admins 组的成员关系，是域森林中强大的服务管理组。

远程登录组(Remote Desktop Users)：该组的成员具有远程登录权限。

打印机操作员组(Print Operators)：该组的成员可以管理网络打印机，包括建立，管理及删除网络打印机，并可以在本地登录和关闭域控制器。

账号操作员组(Account Operators)：该组的成员可以创建和管理该域中的用户和组并为其设置权限，也可以在本地登录域控制器。但是，不能更改属于Administrators或Domain Admins组的账号，也不能更改这些组。在默认情况下，该组中没有成员。

服务器操作员组(Server Operators)：该组的成员可以管理域服务器，其权限包括建立、管理、删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器、变更服务器的系统时间、关闭域控制器等。在默认情况下，该组中没有成员。

备份操作员组(Backup Operators)：该组的成员可以在域控制器中执行备份和还原操作，并可以在本地登录和关闭域控制器。在默认情况下，该组中没有成员。

 

4.6几个比较重要的全局组、通用组的权限

域管理员组(Domain Admins)：该组的成员在所有加入域的服务器、域控制器和活动目录中均默认拥有完整的管理员权限。因为该组会被添加到自己所在域的 Administrators

组中,因此可以继承 Administrators组的所有权限。同时该组默认会被添加到每台域成员 计算机的本地 Administrators组中, 这样, Domain admins组就获得了域中所有计算机的所有权。

问题？

如果我要添加一个域管理员，是添加到域控Administrators组还是Domain Admins组

如果希望某用户成为域系统管理员，建议将该用户添加到Domain Admins组中，而不要直接将该用户添加到Administrators组中。

企业系统管理员组(Enterprise Admins)：该组是域森林根域中的一个组。该组在域森林中的每个域内都是Administrators组的成员，因此对所有域控制器都有完全访问权。

域用户组(Domain Users)：该组是所有的域成员，在默认情况下，任何由我们建立的用户账号都属于Domain Users组，而任何由我们建立的计算机账号都属于Domain Computers组。因此，如果想让所有的账号都获得某种资源存取权限，可以将该权限指定给域用户组，或者让域用户组属于具有该权限的组。域用户组默认是内置域Users组的成员。

域计算机组(Domain Computers)：任何由我们建立的计算机账号都属于该组

4.7 域内最高管理员权限

域内最高管理员权限是 域名\administrator,他没有UAC认证，他也是每个域内机器的本地管理员，和机器名\administrator 具有相同的权限，SID也是500

4.8 域内普通管理员

域内普通管理员就是加入了域中的Domain Admins组，但不是administrator用户，用户虽然也是管理员，但是有些操作也是执行不了的，因为有UAC

如果要执行高权限的操作必须右键使用管理员打开

4.9 域内普通用户

域用户组( Domain users)中是所有的域成员。在默认情况下,任何由我们建立的用户账号都属于 Domain Users组,该组在域内机器中存在于Users组

他就相当于本地的普通用户权限，执行高操作的时候需要UAC认证

4.10 机器用户和SYSTEM区别

Domain Computers组，任何由我们建立的计算机账号都属于该组,机器账户是指在网络中用于代表计算机或设备的账户。在Windows域环境中，每台计算机都有一个机器账户，用于在网络中进行身份验证和授权。机器账户的名称通常以计算机名称或计算机GUID作为前缀，如“JACK-PC$"。机器账户与具体计算机相关联，用于代表计算机进行域认证和访问域资源

当电脑加入到域中后机器账号的密码或同步到域控上，所以说本地system用户对应域内的机器用户，如果说我们渗透的电脑加入了域，但是使用本地用户进行登录，我们就可以提权到system用户，然后对域内进行查询