安全系列之三 域環境下遠端桌面深度剖析及使用

2021-09-21 08:36:17 字數 2314 閱讀 1055

各位都知道,在生產企業裡,遠端桌面是一種很好的管理方式,特別對於伺服器的管理更是快捷,當然也可以管理域內的客戶端,今天我們就來**一下如何啟用域的成員伺服器和客戶端的遠端桌面功能,來對這些客戶端實現統一管理。

我們今天的環境是域環境,如下圖所示:有三個ou,其中domain controllers是該域內的所有的dc,member server ou裡有各種成員伺服器,如檔案伺服器,郵件伺服器等;domain client ou裡有所有域內的其它客戶端。該模型僅是乙個理論模式,具體的生產環境可做相應的調整。

我們的思路是:

1. 把相應的伺服器或客戶端機器放到相應的ou裡。

2. 針對相應的ou實施組策略,並進行相應的設定。

3. 統一設定可以遠端桌面連線的使用者組成員。

4. 在dc上安裝相應的遠端桌面輔助工具,通過dsa.msc遠端管理各種型別的機器。

操作步驟:

一、把相應的伺服器或客戶端機器放到相應的ou裡

這個操作就不詳細說明了,開啟dsa.msc後,新建對應的ou,然後把相應的機器拖到對應的ou裡就可以了。如下圖所示:

在這裡:成員伺服器是n2.net.com,是一台windows2003的機器。而域內的普通客戶端是client.net.com,是一台winxp的機器。

注:domain controllers ou裡是域內的所有的dc。

二、針對相應的ou實施組策略,並進行相應的設定。這一步最關鍵!

(一)member server ou 的設定:

開啟gpmc.msc,如下圖所示:

如果機器啟用了"windows防火牆",則必須進行如下設定,讓「遠端桌面」可以通過防火牆,設定如下:

(二)domain client ou的設定

設定和member server ou的設定相同。不再贅述。

(三)domain controller  ou的設定

對於此ou的設定基本上同上,注意在這個ou上有乙個預設的gpo,即default domain controller policy,直接編輯此gpo就可以了。

三、統一設定可以遠端桌面連線的使用者組成員。

在預設狀態下,只有管理員組的成員才可以進行遠端桌面的連線,如果你想讓某個使用者成為「遠端桌面組」成員,你還要進行相應的設定。

設定完此項後,客戶端可以通過gpupdate /force重新整理並應用組策略,然後在客戶端,右擊「我的電腦」--選屬性,檢視「遠端」項,如下所示:

注:對於domain controllers ou組的成員,即dc除了上述具體的設定外,還必須進行如下設定,因為dc的安全性較高,預設狀態下,

只有administrators組的成員才可以進行「遠端桌面的連線」,因此必須把相應可以對dc進行遠端桌面連線的使用者授予可以進行「終端伺服器登入」許可權。如下設定:

四、在dc上安裝相應的遠端桌面輔助工具,通過dsa.msc遠端管理各種型別的機器。

其實在這裡,不用借助地其它工具,也可以遠端桌面其它機器了,但做為一名管理員,如何使遠端桌面連線更方便快捷,借助於這個工具無疑提高了工作效率。

工具的使用:

1. 首先把雙擊安裝包rcontrolad1.3.exe,解壓到某個目錄下,如c:\rdp。解壓後有三個檔案,如下:

2. 複製rcontrol.exe檔案到c:\windows目錄下,做為客戶端連線工具。

3. 雙擊rcontrol_setup.exe安裝到系統中,安裝結束後,你再開啟dsa.msc(ad使用者和計算機)工具後,再右擊任意一台計算機,就會多出一項,如下:

單擊此項後,如下所示:

已經可以連線到這台計算機了。

擴充套件+小結:

其實我們在企業裡管理各種計算機,更多的不一定到dc上去管理,你可以在你所在的機器上安裝2003的管理工具包,這個包可以在03光碟的i386目錄下或在2003計算機的%systemroot%\system32下,檔名是adminpak.msi,安裝到你的機器上就可以了,這裡你會發現在「管理工具」裡多出了很多03的管理工具。可以直接使用。開啟"ad使用者和計算機"工具,右擊任意一台計算機,也可以看到remote control一項,不過你必須把rcontrol.exe 這個客戶端工具複製這台計算機的windows目錄下。

附件:

網路安全系列之三十 遠端檔案包含

遠端檔案包含 remote file include,它也屬於是 注入 的一種,其原理就是注入一段使用者能控制的指令碼或 並讓服務端執行。檔案包含漏洞可能出現在jsp php asp等語言中,原理都是一樣的,本文只介紹php檔案包含漏洞。本次實驗需要使用2臺web伺服器,實驗環境如下 首先我們編寫下...

網路安全系列之三十 遠端檔案包含攻擊

遠端檔案包含攻擊remote file include,它也屬於是 注入 的一種,其原理就是注入一段使用者能控制的指令碼或 並讓服務端執行。檔案包含漏洞可能出現在jsp php asp等語言中,原理都是一樣的,本文只介紹php檔案包含漏洞。本次實驗需要使用2臺web伺服器,實驗環境如下 web1,i...

網路安全系列之三十二 組策略中的安全選項

在win2003系統中開啟組策略編輯器,展開 計算機配置 windows設定 安全設定 本地策略 安全選項 通過本地策略中的安全選項,可以控制一些和作業系統安全相關的設定。下面是一些常用的安全選項策略 1 關機 允許系統在未登入前關機 正常情況下,使用者只有登入到系統後,具有許可權的使用者才能關機,...