常見的內網結構

2022-09-10 08:03:13 字數 3901 閱讀 1074

工作組(work group)是內網中的乙個結構,它通過最常見的資源管理模式實現網路資源共享。

是因為預設情況下,計算機都是採用工作組方式進行資源管理,將不同的電腦按功能分別列入不同的組中,以方便管理(預設所有的計算機都屬於workgroup工作組中,預設共享的是user目錄)。工作組資源管理模式適合於網路中計算機不多,對管理要求不嚴格的情況。

特點是工作組中所有的計算機都是平等的,沒有管理與被管理之分,因此工作組網路也稱為對等網路。

資料夾→網路,就可以看到和你同處在乙個工作組中的其他計算機,如果要訪問其中的某台計算機,直接點選它,然後輸入該主機的使用者名稱和密碼即可訪問共享的目錄。

工作組加入

計算機→屬性→更改設定→更改→加入乙個work group(可輸入已存在的工作組名稱,如果你輸入的工作組名稱網路中沒有,代表新建乙個work group並加入其中)→重新啟動即可

工作組退出

和工作組加入一樣,只要將工作組名稱寫空或者寫成任意乙個別的工作組即可退出

計算機通過工作組進行分類,使我們訪問的資源結構化更強。工作組情況下資源可以一定隨機和靈活的分布,工作組資源管理模式適合於網路中計算機不多,對管理要求不嚴格的情況。它的加入\退出和訪問都非常簡單,能夠更方便地實現資源共享,管理員只需要實施簡單的維護。

缺乏集中管理與控制的機制,沒有集中的統一帳戶管理,沒有對資源實施更加高效率的集中管理,沒有實施工作站的有效配置和安全性嚴密控制。只適合小規模使用者的使用。

域中相關概念有域、域樹、域林、根域

可以簡單的理解成工作組的公升級版,域對於加入和退出有嚴格的控制,由至少一台伺服器負責每一台聯入網路的電腦和使用者的驗證工作,這個伺服器稱為"域控"(domain controller)。

父域與子域:子域就是指在乙個域下又建立的乙個域

域樹也不難理解,由多個域組成,這些域共享同一表結構和配置,形成乙個連續的名字空間

比如 bj.contoso.com 和 sh.contoso.com 就是 contoso.com的子域,他們的命名是連續的,這種結構就叫做域樹

域林是指由乙個或多個沒有形成連續名字空間的域樹組成,如下圖的結構

contoso.com 和 seattle.com 這兩個域樹就組成了乙個域林。

域林中的所有域樹仍共享同乙個表結構、配置和全域性目錄。

域林中的所有域樹通過kerberos 信任關係建立起來。

其中 contoso.com這個域樹是我們第乙個建立的域樹,整個域林中所建立的第乙個域就是根域

而根域在整個域林中的地位、優先順序、重要性、針對其他域的可制約性都是很強大的。而且在乙個域林中只能有乙個根域。

ad(active directory)中文翻譯為活動目錄,是微軟windows server中,負責架構中大型網路環境的集中式目錄管理服務,它處理了在組織中的網路物件,物件可以是計算機,使用者,群組,組織單元(ou)等等,只要是在ad結構定義中定義的物件,就可以儲存在ad資料資料夾中。

如果將企業的內網看成是一本字典,那麼內網裡的資源就是字典的內容, ad就相當於字典的索引。即活動目錄儲存的是網路中所有資源的快捷方式,使用者通過尋找快捷方式而定位資源。

ad微軟構建這樣的乙個服務它的意義何在?可以分為以下幾個方面來了解:

1.使用者服務

管理使用者的域賬號、使用者資訊、企業通訊錄(與電子郵箱系統整合)、使用者組管理、使用者身份認證、使用者授權管理、按需實施組管理策略等。這裡不單單指某些線上的應用,更多的是指真實的計算機,伺服器等。

2.計算機管理

管理伺服器及客戶端計算機賬戶、所有伺服器及客戶端計算機加入域管理並按需實施組策略。

3.資源管理

管理印表機、檔案共享服務、網路資源等實施組策略。

4.應用系統的支援

5.客戶端桌面管理

系統管理員可以集中的配置各種桌面配置策略,如:使用者適用域中資源許可權限制、介面功能的限制、應用程式執行特徵的限制、網路連線限制、安全配置限制等。

1.域(domain)

域是ad的根,是ad的管理單位。域中包含著大量的域物件,如:組織單位,組,使用者,計算機,聯絡人,印表機,安全策略等。

2.組織單位(organization unit)

組織單位簡稱為ou是乙個容器物件,可以把域中的物件組織成邏輯組,幫助網路管理員簡化管理組。組織單位可以包含下列型別的物件:使用者,計算機,工作組,印表機,安全策略,其他組織單位等。可以在組織單位基礎上部署組策略,統一管理組織單位中的域物件。

3.群組(group).

群組是一批具有相同管理任務的使用者賬戶,計算機賬戶或者其他域物件的乙個集合。

群組型別分為兩類:

2.通訊組:用於使用者之間通訊的組,適用通訊組可以向一組使用者傳送電子郵件。

4.使用者(user)

ad中使用者是最小的管理單位,域使用者最容易管理又最難管理,如果賦予域使用者的許可權過大,將帶來安全隱患,如果許可權過小域使用者無法正常工作。

域使用者的型別,域中常見使用者型別分為:

普通域使用者:建立的域使用者預設就新增到"domain users"中。

域管理員:普通域使用者新增進"domain admins"中,其許可權公升為域管理員。

企業管理員:普通域管理員新增進"enterprise admins"後,其許可權提公升為企業管理員,企業管理員具有最高許可權。

dmz,也稱"非軍事化區",可以理解為緩衝區,這個設計出來主要是為了解決基於**型防火牆的「單點故障」問題,也就是攻破防火牆後,內網大門敞開的問題。

dmz 區可以理解為乙個不同於外網或內網的特殊網路區域。

dmz 內通常放置一些不含機密資訊的公用伺服器,來自外網的訪問者只可以訪問 受限的dmz 中的服務,但不可能接觸到存放在內網中的資訊等,即使 dmz 中伺服器受到破壞,內網依舊不受影響。

首先搞明白本地組與全域性組的概念

域本地組主要用來指派在其所屬域內帳戶的訪問許可權,以便訪問該域的資源。域本地組織只能夠訪問同乙個域內的資源,無法訪問其它不同域內的資源。也就是說,當在某台計算機上設定許可權時,可以設定同乙個域內的域本地組的訪問許可權,而無法設定其它域內的域本地組的許可權。

如企業現在有兩個公司,總公司與分公司,分屬於不同的域。其中員工李某與周某,分別屬於總公司與分公司。

現在就拿分公司這個域來說,我們可以在這個域中建立乙個本地組。有時會,總公司的員工李某來分公司視察的時候,需要訪問分公司的網路資源。如此的話,我們就可以把李某加入到分公司這個域的本地組,這是可以的,因為域本地組可以把其它域的使用者加入到本地組中。但是,分公司這個域本地組是沒有許可權,把自己域內的使用者,如周某加入到總公司的域本機組中去。

全域性組主要是用來組織使用者。也就是說,我們在許可權管理中,可以把根據許可權的不同對使用者進行分組,讓許可權相同的使用者帳戶歸屬於同乙個全域性組。全域性組可以訪問任何乙個域內的資源,即可以在任何乙個域內設定全域性組的訪問許可權。也就是說,可以把全域性組認為沒有域的限制,你在a域中設立全域性組,然後可以在 b域中對其訪問許可權進行修改。

a表示使用者賬號,g表示全域性組,dl表示域本地組,p表示資源許可權。

這個策略的意思就是先建立使用者帳戶,然後把根據帳戶的訪問許可權不同把它加入到不同的全域性組中,然後再把全域性組加入到域本地組中,最後設定域本地組的許可權。如此的話,域中的任何乙個使用者只要針對域本地組來設定訪問許可權,則出於該域本地組中的全域性組中的所有使用者,都適用剛才設定的訪問許可權。

內網滲透常見命令收集整理

1,執行如下命令,可以獲取當前機器是否處在內網中 有幾個內網 內網段分別是多少 是否是域內網 閘道器 ip 位址 dns 指向的 ip 位址等資訊 ipconfig all 2,獲取系統和版本資訊 systeminfo findstr b i c os name c os version 3,b 在...

常見的資料結構

棧 stack,又稱堆疊,它是運算受限的線性表,其限制是僅允許在表的一端進行插入和刪除操作,不允許在其他任何位置進行新增 查詢 刪除等操作。採用該結構的集合,對元素的訪問有如下的特點 1.先進後出。2.棧的入口 出口的都是棧的頂端位置。壓棧 就是存元素。即,把元素儲存到棧的頂端位置,棧中已有元素依次...

常見的資料結構

資料儲存的常用結構有 棧 佇列 陣列 鍊錶和紅黑樹。我們分別來了解一下 棧 stack,又稱堆疊,它是運算受限的線性表,其限制是僅允許在標的一端進行插入和刪除操作,不允許在其他任何位置進行新增 查詢 刪除等操作。簡單的說 採用該結構的集合,對元素的訪問有如下的特點 佇列 queue,簡稱隊,它同堆疊...