何 Windows 域的核心都是 Active Directory 域服务 (AD DS)。此服务充当目录,其中包含网络上存在的所有“对象”的信息。在 AD 支持的众多对象中,我们有用户、组、计算机、打印机、共享和许多其他对象。让我们来看看其中的一些:
用户
用户是 Active Directory 中最常见的对象类型之一。用户是称为安全主体的对象之一,这意味着他们可以由域进行身份验证,并且可以分配对文件或打印机等资源的权限。可以说,安全主体是可以对网络中的资源执行操作的对象。
用户可用于表示两种类型的实体:
- 人员:用户通常代表组织中需要访问网络的人员,例如员工。
- 服务:您还可以定义要由IIS或MSSQL等服务使用的用户。每个服务都需要一个用户才能运行,但服务用户与普通用户不同,因为他们只有运行其特定服务所需的权限。
机器
计算机是 Active Directory 中的另一种类型的对象;对于加入 Active Directory 域的每台计算机,都将创建一个计算机对象。计算机也被视为“安全主体”,并像任何普通用户一样分配一个帐户。此帐户在域本身中具有一定的有限权限。
计算机帐户本身是已分配计算机上的本地管理员,除了计算机本身之外,通常任何人都不应访问它们,但与任何其他帐户一样,如果您有密码,则可以使用它登录。
注意:计算机帐户密码会自动轮换,通常由 120 个随机字符组成。
识别计算机帐户相对容易。它们遵循特定的命名方案。计算机帐户名称是计算机的名称,后跟美元符号。例如,名为 的计算机将具有名为 的计算机帐户。DC01DC01$
安全组
如果您熟悉 Windows,您可能知道可以定义用户组,以便将文件或其他资源的访问权限分配给整个组,而不是单个用户。这样可以提高可管理性,因为您可以将用户添加到现有组,并且他们将自动继承该组的所有权限。安全组也被视为安全主体,因此可以对网络上的资源具有权限。
组可以同时将用户和计算机作为成员。如果需要,组也可以包括其他组。
默认情况下,会在域中创建多个组,这些组可用于向用户授予特定权限。例如,以下是域中一些最重要的组:
| 安全组 | 描述 |
| 域管理员 | 此组的用户对整个域具有管理权限。默认情况下,他们可以管理域上的任何计算机,包括 DC。 |
| 服务器操作员 | 此组中的用户可以管理域控制器。他们不能更改任何管理组成员身份。 |
| 备份操作员 | 此组中的用户可以访问任何文件,而忽略其权限。它们用于在计算机上执行数据备份。 |
| 账户运营商 | 此组中的用户可以创建或修改域中的其他帐户。 |
| 域用户 | 包括域中的所有现有用户帐户。 |
| 域计算机 | 包括域中的所有现有计算机。 |
| 域控制器 | 包括域上的所有现有 DC。 |
您可以从 Microsoft 文档中获取默认安全组的完整列表。
Active Directory 用户和计算机
要在 Active Directory 中配置用户、组或计算机,我们需要登录到域控制器并从开始菜单运行“Active Directory 用户和计算机”:
这将打开一个窗口,您可以在其中查看域中存在的用户、计算机和组的层次结构。这些对象在组织单位 (OU) 中进行组织,这些组织单位是允许您对用户和计算机进行分类的容器对象。OU 主要用于定义具有相似策略要求的用户集。例如,组织销售部门的人员可能应用了一组与 IT 部门人员不同的策略。请记住,用户一次只能是单个 OU 的一部分。
检查我们的机器,我们可以看到已经调用了一个 OU,其中包含 IT、管理、营销和销售部门的四个子 OU。看到 OU 模仿业务结构是非常典型的,因为它允许有效地部署适用于整个部门的基线策略。请记住,虽然这在大多数情况下都是预期的模型,但您可以任意定义 OU。随意右键单击 OU 并在其下创建一个新的 OU,只是为了好玩而调用它。THMTHMStudents
如果打开任何 OU,您可以查看它们包含的用户,并根据需要执行简单的任务,例如创建、删除或修改它们。如果需要,您还可以重置密码(对帮助台非常有用):
您可能已经注意到,除了 THM OU 之外,还有其他默认容器。这些容器由 Windows 自动创建,包含以下内容:
- 内置:包含可用于任何 Windows 主机的默认组。
- 计算机:默认情况下,任何加入网络的机器都将放在这里。如果需要,您可以移动它们。
- 域控制器:包含网络中 DC 的默认 OU。
- 用户:应用于域范围上下文的默认用户和组。
- 托管服务帐户:保留 Windows 域中服务使用的帐户。
安全组与 OU
您可能想知道为什么我们同时拥有组和 OU。虽然两者都用于对用户和计算机进行分类,但它们的目的完全不同:
- OU 可以方便地将策略应用于用户和计算机,其中包括与用户集相关的特定配置,具体取决于用户在企业中的特定角色。请记住,用户一次只能是单个 OU 的成员,因为尝试将两组不同的策略应用于单个用户是没有意义的。
- 另一方面,安全组用于授予对资源的权限。例如,如果要允许某些用户访问共享文件夹或网络打印机,则可以使用组。用户可以是多个组的一部分,这是授予对多个资源的访问权限所必需的。
在 AD 中管理用户
作为新的域管理员,您的第一项任务是检查现有的 AD OU 和用户,因为业务最近发生了一些更改。您已获得以下组织结构图,并应对 AD 进行更改以匹配它:
删除额外的 OU 和用户
您应该注意的第一件事是,当前 AD 配置中还有一个额外的部门 OU,该 OU 未显示在图表中。我们被告知,由于预算削减,它已关闭,应该从域中删除。如果尝试右键单击并删除 OU,将收到以下错误:
默认情况下,OU 受到保护,不会被意外删除。要删除 OU,我们需要在“视图”菜单中启用“高级功能”:
这将向您显示一些其他容器,并使您能够禁用意外删除保护。为此,请右键单击 OU,然后转到“属性”。您将在“对象”选项卡中找到一个复选框来禁用保护:
请务必取消选中该框,然后再次尝试删除 OU。系统将提示您确认是否要删除 OU,因此,其下的任何用户、组或 OU 也将被删除。
删除额外的 OU 后,您应该注意到,对于某些部门,AD 中的用户与我们组织结构图中的用户不匹配。根据需要创建和删除用户以匹配用户。
代表团
在 AD 中可以做的一件好事是让特定用户对某些 OU 进行一些控制。此过程称为委派,允许您授予用户特定权限以在 OU 上执行高级任务,而无需域管理员介入。
最常见的用例之一是授予重置其他低权限用户密码的权限。根据我们的组织结构图,Phillip 负责 IT 支持,因此我们可能希望将重置销售、营销和管理 OU 密码的控制权委托给他。IT support
在此示例中,我们将对 Sales OU 的控制权委托给 Phillip。若要委派对 OU 的控制权,可以右键单击它,然后选择“委派控制”:
这应该会打开一个新窗口,首先会要求您输入要委派控制权的用户:
注意:为避免错误输入用户名,请输入“phillip”,然后单击“检查姓名”按钮。Windows 将为你自动完成用户。
单击“确定”,然后在下一步中选择以下选项:
单击“下一步”几次,现在 Phillip 应该能够为销售部门的任何用户重置密码。虽然你可能希望重复这些步骤来委派营销和管理部门的密码重置,但我们会将其保留在此处执行此任务。如果需要,您可以继续配置其余的 OU。
实践由于我们委派了philli有改他控制的ou用户密码权限
远程登录philli
虽然您可能很想去 Active Directory 用户和计算机尝试测试 Phillip 的新能力,但他实际上没有打开它的权限,因此您必须使用其他方法来重置密码。在本例中,我们将使用 Powershell 来执行此操作:
PS C:\Users\phillip> Set-ADAccountPassword sophie -Reset -NewPassword (Read-Host -AsSecureString -Prompt 'New Password') -Verbose New Password: ********* VERBOSE: Performing the operation "Set-ADAccountPassword" on target "CN=Sophie,OU=Sales,OU=THM,DC=thm,DC=local".
由于我们不希望 Sophie 继续使用我们知道的密码,因此我们还可以在下次登录时使用以下命令强制重置密码:
PS C:\Users\phillip> Set-ADUser -ChangePasswordAtLogon $true -Identity sophie -Verbose VERBOSE: Performing the operation "Set" on target "CN=Sophie,OU=Sales,OU=THM,DC=thm,DC=local".
后面发现密码必须要有大小和特殊符号所以密码是Test1234!
远程登录sophie,查看flag。
在 AD 中管理计算机
默认情况下,所有加入域的计算机(DC 除外)都将放在名为“计算机”的容器中。如果我们检查我们的 DC,我们会看到一些设备已经存在:
我们可以看到一些服务器,一些笔记本电脑和一些与我们网络中的用户相对应的PC。将我们所有的设备都放在那儿并不是最好的主意,因为您很可能希望对普通用户每天使用的服务器和机器采取不同的策略。
虽然关于如何组织机器没有黄金法则,但一个很好的起点是根据设备的用途来隔离设备。一般情况下,你希望看到设备至少分为以下三个类别:
1. 工作站
工作站是 Active Directory 域中最常见的设备之一。域中的每个用户都可能登录到工作站。这是他们将用于完成工作或正常浏览活动的设备。这些设备绝不应有特权用户登录。
2. 服务器
服务器是 Active Directory 域中第二常见的设备。服务器一般用于向用户或其他服务器提供服务。
3. 域控制器
域控制器是 Active Directory 域中第三常见的设备。域控制器允许您管理 Active Directory 域。这些设备通常被认为是网络中最敏感的设备,因为它们包含环境中所有用户帐户的哈希密码。
由于我们正在整理 AD,因此让我们为 和 创建两个单独的 OU(域控制器已在 Windows 创建的 OU 中)。我们将直接在域容器下创建它们。最后,您应该具有以下 OU 结构:WorkstationsServersthm.local
组策略
到目前为止,我们只是为了在 OU 中组织用户和计算机,但其背后的主要思想是能够为每个 OU 单独部署不同的策略。这样,我们可以根据用户的部门向用户推送不同的配置和安全基线。
Windows 通过组策略对象 (GPO) 管理此类策略。GPO 只是可应用于 OU 的设置集合。GPO 可以包含针对用户或计算机的策略,从而允许你在特定计算机和标识上设置基线。
若要配置 GPO,可以使用“开始”菜单中提供的组策略管理工具:
打开它时,您将首先看到完整的 OU 层次结构,如前所述。若要配置组策略,请先在“组策略对象”下创建一个 GPO,然后将其链接到要应用策略的 OU。例如,您可以看到计算机中已经存在一些 GPO:
让我们检查一下 GPO 内部的内容。选择 GPO 时,你将看到的第一个选项卡显示其范围,这是 GPO 在 AD 中链接的位置。对于当前的策略,我们可以看到它只链接到了域:
如您所见,您还可以将安全筛选应用于 GPO,以便它们仅应用于 OU 下的特定用户/计算机。默认情况下,它们将应用于“经过身份验证的用户”组,其中包括所有用户/电脑。
“设置”选项卡包括 GPO 的实际内容,并让我们知道它应用了哪些特定配置。如前所述,每个 GPO 都具有仅适用于计算机的配置和仅适用于用户的配置。在本例中,仅包含计算机配置:
随意浏览 GPO 并使用每个配置右侧的“显示”链接扩展可用项目。在这种情况下,指示应适用于大多数域的真正基本配置,包括密码和帐户锁定策略
由于此 GPO 适用于整个域,因此对它的任何更改都会影响所有计算机。让我们更改最小密码长度策略,要求用户的密码中至少有 10 个字符。为此,请右键单击 GPO 并选择“编辑”:
这将打开一个新窗口,我们可以在其中导航和编辑所有可用配置。若要更改最小密码长度,请转到并更改所需的策略值:
Computer Configurations -> Policies -> Windows Setting -> Security Settings -> Account Policies -> Password Policy
如您所见,可以在 GPO 中建立大量策略。虽然在一个房间里解释它们中的每一个是不可能的,但请随意探索一下,因为有些政策很简单。如果需要有关任何策略的详细信息,可以双击它们并阅读每个策略上的“说明”选项卡:
GPO 分布
GPO 通过存储在 DC 中的称为 的网络共享分发到网络。域中的所有用户通常都应有权通过网络访问此共享,以便定期同步其 GPO。默认情况下,SYSVOL 共享指向网络中每个 DC 上的目录
C:\Windows\SYSVOL\sysvol\
对任何 GPO 进行更改后,计算机可能需要长达 2 小时才能跟上进度。如果要强制任何特定计算机立即同步其 GPO,则始终可以在所需的计算机上运行以下命令:
PS C:\> gpupdate /force
为 THM Inc. 创建一些 GPO。
作为我们新工作的一部分,我们的任务是实施一些 GPO,以便我们能够:
- 阻止非 IT 用户访问控制面板。
- 让工作站和服务器在用户闲置 5 分钟后自动锁定屏幕,以避免用户在会话中断时暴露在外。
让我们重点关注其中的每一个,并定义我们应该在每个 GPO 中启用哪些策略以及它们应该在何处链接。
限制对控制面板的访问
我们希望将所有计算机上的控制面板访问权限限制为仅属于 IT 部门的用户。其他部门的用户不应能够更改系统的首选项。
让我们创建一个名为 GPO 的新 GPO 并打开它进行编辑。由于我们希望此 GPO 应用于特定用户,因此我们将在以下策略下查找:
请注意,我们已启用“禁止访问控制面板和电脑设置”策略。
配置 GPO 后,我们需要将其链接到与不应访问其 PC 控制面板的用户对应的所有 OU。在本例中,我们将通过将 GPO 拖动到每个 OU 来链接它们:
自动锁屏 GPO
对于第一个 GPO,关于工作站和服务器的屏幕锁定,我们可以直接将其应用于我们之前创建的 和 OU。WorkstationsServersDomain Controllers
虽然此解决方案应该有效,但另一种方法是简单地将 GPO 应用于根域,因为我们希望 GPO 影响我们所有的计算机。由于 和 OU 都是根域的子 OU,因此它们将继承其策略。WorkstationsServersDomain Controllers
注意:您可能会注意到,如果我们的 GPO 应用于根域,它也将被其他 OU(如 或 )继承。由于这些 OU 仅包含用户,因此它们将忽略 GPO 中的任何计算机配置。SalesMarketing
让我们创建一个新的 GPO,调用它,然后编辑它。实现我们想要的策略位于以下路线中:Auto Lock Screen
我们会将非活动限制设置为 5 分钟,以便在任何用户保持会话打开状态时自动锁定计算机。关闭 GPO 编辑器后,我们将通过将 GPO 拖到根域中来将 GPO 链接到根域:
