教案——Windows网络基础结构之域和AD
try hack me ad域基础
try hack me ad域基础Try Hack Me是一个面向初学者和专业人士的在线平台,旨在提供实践和学习网络安全的机会。
在Try Hack Me上,你可以学习如何渗透测试和防御,其中一个非常重要的主题是AD域基础知识。
AD域(Active Directory)是微软开发的一种目录服务,用于在网络中集中管理和控制用户、计算机和其他资源。
它提供了一个层次化的结构,可以轻松地组织和管理网络中的各种对象。
在这篇文章中,我们将探讨AD域的基础知识,包括域控制器、域用户和组、组策略等重要概念。
让我们从域控制器开始。
域控制器是AD域的核心组件,它是运行Active Directory服务的服务器。
域控制器负责验证用户的身份、授权用户对资源的访问,并维护域中的安全性。
每个域至少需要一个域控制器,但可以有多个域控制器来提供冗余和负载平衡。
接下来是域用户和组。
域用户是AD域中的个人身份,他们可以通过AD域登录到网络中的计算机,并访问其所在域中的资源。
域用户可以根据需要分组,这样可以更好地管理和控制他们的权限。
组是一种集合,可以包含多个域用户。
通过将用户放入组中,可以轻松地为他们分配权限和应用组策略。
我们来谈谈组策略。
组策略是一种管理和控制域中计算机和用户配置的方法。
它可以强制执行密码策略、应用软件设置、限制访问等。
组策略是通过域控制器上的组策略对象(GPO)来实现的,这些对象将特定的设置应用于特定的用户或计算机组。
除了上述基本概念外,AD域还有许多其他重要组件和功能,例如域名系统(DNS)服务、域间信任、组织单位(OU)等。
DNS服务用于解析域名和IP地址之间的关系,域间信任允许不同域之间共享资源和身份验证,OU是组织和管理域中对象的容器。
要在Try Hack Me上学习AD域基础知识,你可以参加相关的房间和挑战。
房间提供了一个结构化的学习环境,包括讲座、实践和问答。
你可以通过完成挑战来测试你的技能,并获得实际的渗透测试经验。
《windows网络操作系统》第3章__域的创建与管理
2018年7月27日星期五
Windows 网络操作系统
第4 页
3.1
域的有关概念
3.1.1 认识Windows的域 活动目录是存储网络上对象的相关信息并使该信息可供用户和网 络管理员使用的目录服务。 目录是一个数据库,用于保存与网络资源相关的信息结构、资源 位置、安全信息及管理信息等。如:计算机、用户、组、打印机 等的名称、描述、地理位置、访问权限等信息。 目录服务是使目录中所有信息和资源发挥作用的服务。 服务的主要表现是: 网络中的所有用户和应用程序只需提供很少的信息就能准 确定位到这些实体资源,保证用户能够快速访问。 目录服务在网络安全方面也扮演着中心授权机构的角色, 从而使操作系统可以轻松地验证用户身份并控制其对网络 资源的访问。 域(Domain)是共用一个“目录服务数据库”有安全边界的计 算机的集合。
2018年7月27日星期五
Windows 网络操作系统
第1 页
大、中型企业网络有几百到上千的用户,资源也比较分散, 这时候如何管理?
课程导入
“工作组”和“域”是Windows网络的两种管理方式。
工作组
域
每一台计算机都独立维护自己的资源,不能集中管理所有网络资源 每一台计算机都在本地存储用户的账户 一个账户只能登录到一台计算机 工作组中的计算机的地位都是平等的,对于其他计算机来说既是服 务器,也是客户机 工作组的网络规模一般少于10台计算机 将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别 于工作组的逻辑环境叫做域 域是组织与存储资源的核心管理单元 提供了存储网络上对象信息并使网络用户使用该数据的方法
一个域中无论有多少台计算机,用户只要拥有域用户账户, 便可访问域中所有计算机上允许访问的资源,即域用户账 户对资源的访问范围可以是整个域,而非局限在一台计算 机上。 域用户账户可以在加入域的任何一台计算机上登录,从而 使用、访问该计算机上资源。
ad域控基础知识
AD域控基础知识1. 什么是AD域控?AD(Active Directory)域控制器是微软公司提供的一种用于管理和组织网络资源的服务。
它是基于目录服务技术的一种实现,用于存储和管理网络中的用户、计算机、组织单位等信息,并提供认证、授权和资源访问控制等功能。
2. AD域控的作用AD域控在企业网络中起到了至关重要的作用,它具有以下几个主要作用:用户认证和授权AD域控负责用户的身份认证和访问权限管理。
用户登录时,域控会验证其身份,并根据其所属组织单位、组等信息确定其拥有的权限。
资源管理和共享AD域控可以集中管理企业网络中的各种资源,如文件共享、打印机、数据库等。
通过域控,管理员可以方便地管理这些资源,并按照需要进行共享。
集中化账户管理通过AD域控,管理员可以集中管理企业网络中所有用户账户。
这样做可以提高管理效率,减少重复工作,并且可以统一设置密码策略和账户锁定策略,增强安全性。
组织结构管理AD域控支持组织单位的创建和管理,可以根据企业的组织结构进行灵活的组织管理。
管理员可以创建不同的组织单位,并按照需要进行权限划分和资源分配。
3. AD域控的基本概念域(Domain)域是AD中最基本的逻辑单元,它是一组网络对象(如用户、计算机、组等)的集合。
域有一个唯一的名称,用来标识该域在整个AD架构中的位置。
域控制器(Domain Controller)域控制器是运行AD服务并存储AD数据库的服务器。
一个域可以有多个域控制器,它们之间通过复制来保持数据一致性。
林(Forest)林是一个或多个相互信任关系建立起来的域集合。
一个林中可以包含一个或多个域,这些域共享相同的安全策略和目录架构。
目录服务(Directory Service)目录服务是一种用于存储和管理网络对象信息的服务。
在AD中,目录服务采用了LDAP(Lightweight Directory Access Protocol)协议,并使用X.500目录结构作为其数据模型。
Windows2003网络服务全套教材【北大青鸟专用】-操作主机与ad data 维护
Page 17/30
阶段练习
☺ 背景
☺BENET公司组建了一个单域 公司组建了一个单域 公司组建了一个单域 ☺ 有两台 ,第一台 的硬件配置比较低 有两台DC,第一台DC的硬件配置比较低 ☺ 第二台 的硬件配置较高 第二台DC的硬件配置较高 ☺ 目前的 个操作主机角色都在第一台 上,如何将之转 目前的5个操作主机角色都在第一台 个操作主机角色都在第一台DC上 移到第二台DC上 移到第二台 上
Page 10/30
操作主机角色总结
Page 11/30
转移操作主机角色5-1 转移操作主机角色
现操作主机配置较低 转移到配置较高的DC上 转移到配置较高的 上
Page 12/30
转移操作主机角色5-2 转移操作主机角色
转移PDC主机、RID主机和基础结构主机角色 主机、 转移 主机 主机和基础结构主机角色
1)在“命令提示符”中键入“ntdsutil” ) 命令提示符” 命令提示符 中键入“ 2)键入“roles” )键入“ 3)键入“connection” )键入“ 4) connect to server ) 5)键入“quit”(返回上一级命令提示符) )键入“ (返回上一级命令提示符) 6)键入“seize RID master” )键入“
Page 22/30
非授权还原2-1 非授权还原
活动目录数据库还原
非授权还原 授权还原
非授权还原:恢复活动目录到它备份时的状态 非授权还原: 执行非授权还原后
如果域中只有一个域控制器, 如果域中只有一个域控制器,在备份之后的任何修改 都将丢失 如果域中有多个域控制器, 如果域中有多个域控制器,则恢复已有的备份并从其 他域控制器复制活动目录对象的当前状态
Page 9/30
Windows网络操作系统配置与管理单元十二任务1:配置ADCS
工作任务
任务1 安装与配置AD CS 任务2 部署用户和计算机证书
单元十二 配置与管理AD CS
任务1 安装与配置AD CS 任务2 部署用户和计算机证书
任务1 安装与配置 AD CS
一:课程导入 二:知识原理
2.1 PKI 及其优点 2.2 PKI的应用 2.3 PKI 解决方案的组件 2.4 AD CS 对 PKI 的支持 2.5 CA 概述 2.6 CA 的类型 2.7 独立 CA 和企业 CA 2.8 CA 层次结构的使用方案 2.9 安装根 CA 的注意事项 2.10 安装子级 CA 的注意事项
S/MIME
EFS 证书用途
RAS
根
子级
印度
加拿大 位置
美国
根
子级
制造部门
工程部门 部门
会计部门
员工
承包商 组织单位
合作伙伴
2.9 安装根 CA 的注意事项
计算机名称和域成员身份 服务器的配置
# CSP
默认值:2048 密钥字符长度
私钥配置
证书 哈希算法
名称和 配置
证书数据库 和日志位置
有效期
规划根 CA
单元十:配置与管理DNS服务器
单元十一:配置与管理Web服务 器
单元十二:配置与管理ADCS
单元十三:配置路由与远程访问
单元十四:配置网络策略服务和 网络访问保护
单元十二 配置与管理ADCS
工作背景
你是时讯公司的网络管理员,为了保证公司 网络的通讯安全,许多技术都需要证书的支持, 比如文件加密,与服务器的加密连接,安全 Web访问,基于证书的VPN加密连接以及基于 证书的NAP保护等,为此,你需要在当前公司网 络中部署AD CS基础结构。
《windows网络操作系统》第3章域的创建与管理
客户端1 (物理机)
加入域 域控制器
客户端2 (虚拟机2)
(虚拟机1)
IP:172.16.220.X/24
IP:172.16. 220.X+160/24
DNS:172.16. 220.X+80/24
算机的集合。
3.1 域的有关概念
3.1.1 认识Windows的域
存储 对象
提供 的 服务
存储 结构
扩展 性
教科书的目录
网络的(活动)目录AD
章 页、号节的名称;基机综本 合、单 单联系元 元人( :对等组象;织)单:元、用域户、、域组树、、计域算林机等、文件、打印
让读者快速查 找、定位书上 的信息
本地域组Biblioteka 全局组作用 范围该组所在的域内
所有受信任的域
成员
所有域的用户账户、全局组、 通用组,以及本域的域本地组
本域的用户账户和 全局组
通用组
所有受信任的域
所有域的用户账户、全局 组和通用组
3.3 域的管理
3.3.3 创建与管理组织单位
组织单位(OU)——OU是一个容器,在OU 中可以包含用户、组等其他对象,也可以在 OU中建立子OU。
第3章 域的创建与管理
项目背景
企业要构建一个办公网络,考虑到业务发展的需要, 以及网络的安全性,需要对重要的公共资源和计算 机使用人员的信息实现集中管理。
为此需要将原来基于工作组方式的网络升级为基于 域的网络,现在需要将一台或多台计算机升级为域 控制器,并将其它所有计算机加入到域成为成员服 务器或工作站。
windows域配置及管理PPT学习课件
36
管理容器
• 1、 Builtin:用来存放默认内置组(如Account Operators或Administrators)对象。
–域名的命名采用DNS标准
• 办公网络与Internet集成
–定位DC
• 1)客户机发送DNS查询请求给DNS服务器 • 2)DNS服务器查询匹配的SRV资源记录 • 3)DNS服务器返回相关DC的IP地址列表给客户机 • 4)客户机联系到DC • 5)DC响应客户机的请求
• 域的DNS区域维护
–SRV资源记录可以定位DC
•域
–将网络中多台计算机逻辑上组织到一起,进行 集中管理,这种区别于工作组的逻辑环境叫做 域
–域是组织与存储资源的核心管理单元
活动目录提供了存储网络上对象信息并使网络用 户使用该数据的方法
3
域的基本概念
活动目录
• 活动目录(Active Directory)是Windows Server 2003平台提供的目录服务,在中央数据库 中存放信息,使用户在网络上只拥有一个用户账 号。
• 目录服务是使目录中所有信息和资源发挥 作用的服务,活动目录是一个分布式的目 录服务,信息可以分散在多台不同的计算 机上,保证用户能够快速访问
5
活动目录作用
(1) 信息的安全性大大增强 1、活动目录集中控制用户授权 2、 提供存储和应用程序作用域的安全策
略,提供安全策略的存储和应用范围。 (2) 引入基于策略的管理,使系统的管理更加明
。
域控制器
(Windows 2000/
(Windows Server 2003 )
Server 2003)
域控制器 (Windows NT 4.0)
AD域配置详解(详细教程)
一为什么需要域?此文档转自网上,希望能对需要的朋友有所帮助!对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。
域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。
但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。
从今天开始,我们将推出Active Directory 系列博文,希望对广大学习AD的朋友有所帮助。
今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。
我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。
我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。
假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。
服务器的职能大家都知道,无非是提供资源和分配资源。
服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。
现在服务器Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。
基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。
首先,如下图所示,我们在服务器上为张建国创建了用户账号。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows网络基础结构——域和AD
【说明】“Windows网络基础结构——域和AD”是导师训练中的第三个模块。
域既是Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows 网络操作系统中,域是安全边界。
域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。
本章旨在让学员学习域结构网络的规划设计与运用。
Windows网络基础结构——域和AD
【学习目标】
1、熟悉域结构网络;
2、掌握域、域树、域林的创建;
3、掌握域环境中各种网络功能的使用;
【教学重点、难点】
1、域结构网络的创建;
2、卷影副本
3、脱机文件夹
4、软件分发
【教学过程】
一、课前预习
预习题纲:
1.工作组结构网络与域结构网络
2.域中计算机角色
3.域的创建
4.对象与组织单位
5.域树与域林
6.域信任
7.域用户和域组
8.用户配置文件
9.共享文件夹创建
10.共享文件夹发布与查找
11.卷影副本
12.脱机文件夹
13.分布式文件系统
14.NTFS权限
15.磁盘配额
16.文件的加密与解密
17.打印机共享
18.打印机发布与查找
19.组策略
20.软件分发
二、课堂展示
导入课题:
情景一:
Jack是一家公司的网管,公司是工作组结构的网络,但随着公司规模的不断增大,员工和机器随之增多,网络的安全性越来越成为问题,用户也经常抱怨查找和使用资源越来越难。
Jack决定把当前工作组结构的网络升级为域结构的网络。
他首先需要考虑哪些问题,以及做哪些规划。
情景二:
Jack终于把域网络结构做好了,他创建了一个单域,其中有两台域控制器,并为公司的每个部门建立了相应的OU,为每个员工创建了相应的用户帐户,并将员工的计算机都加入了域。
他接下来考虑怎样才能让用户能够更加方便的查找和使用打印机与共享文件夹。
情景三:
在完成了共享文件夹与打印机的发布之后,Jack为了让公司的部门和用户都能方便存储和访问相关数据,决定建立一台文件服务器。
他需要考虑哪些问题,以便确保文件服务器上的数据能够被安全和方便的访问。
情景四:
Jack收到一些投诉,有用户说自己在访问别人的共享文件夹时经常不小心进行了误操作,不知如何才能纠正这种误操。
另外,用记也谈到自己访问不同的计算机上的共享文件夹要登录不同的计算机,太过麻烦,能不能有什么更好的方式只需访问登录一台机器就能访问到所有自己所需访问的共享文件夹呢?
情景五:
公司出于工作效率和工作纪律方面的考虑,希望能够对每个员工机器上的软件实行管理,即强制安装某些软件或强制不允许安装某些软件。
Jac该如何解决这一问题?。
教师小结:当前网络的规模越来越大,需求与应用也日趋复杂,传统的工作组结构的网络已不能更多更好的解决问题。
而域结构的网络越来越被广泛应用。
在域结构结构网络中,我们能更好管理网络上的各种资源,也能能更加方便查找和访问网络上的资源。
讨论:各组分别讨论,我们如何规划设计一个域结构网络,如何解决以上我们常遇到的各种问题?
表述:各组分别选派成员,表述本组的结论及其理由。
教师小结:刚才各组都表述了对以上问题解决的观点,且都有一定的正确性和合理性。
是的,我们要实现一个域结构网络,会面对各种各样的问题。
只有对每一个问题有正确的认识,掌握了相关的知识点,我们才能更好解决问题,从而提高我们解决问题的综合能力
三、案例分析
◆案例描述
合肥乐居中介是一家专门从事有关房地产方面的中介公司,公司经营的业务主要有:二手房出租、出售,代理新楼盘的代销、抵卖,代理用户的买房贷款、房屋过户手续、房产见证等。
公司设有财务部、业务部、过户部、法律部等四个部门,其中业务部又分为房产交
易部、贷款部、商品房代理部等三个部门。
公司的人员和计算机配置附件表中所示。
为加强管理,提高工作效率及保障公司机密数据安全,公司领导决定给与一定投资改变当前网络现状。
◆用户需求
1.首先保证数据安全性,所有的重要数据一定要保存到服务器上;
2.每个部门的数据保存在服务器的一个目录下,每个部门的数据只能由部门人员看到。
部
门之间(的目录)不能互相看到,但总经理可以看到所有数据;
3.每个人的数据保存在自己的计算机上,其他人(甚至网管、总经理)也不能看到。
考虑
到计算机的硬盘不是很大,可以在服务器上给每个人一定空间,保存相对重要的数据。
每个人的空间独立,其他人不能看到;
4.会计需要使用一台打印机,这台打印机不能让其他人使用;其他人需要打印时,使用原
来过户部的激光打印机;
5.激光打印机共享使用,但要保证不耽误过户部的人员使用;
6.公司的计算机上不能安装游戏,也不能安装与工作无关的软件,需要装软件时由网管来
装。
四、当堂练习
1.创建域:安装域控制器、添加成员服务器及成员客户机;
2.创建OU
3.创建用户
4.发布、查找共享打印机;
5.发布、查找共享文件夹;
6.建立共享文件夹结构;
7.设置NTFS权限
8.配置磁盘配额
9.配置卷影副本
10.配置脱机文件夹;
11.配置分布式文件系统;
12.实现软件分发。
五、上机任务
创建下列域结构网络环境:图略
注:为防抄袭,域名必须以自己名字汉语拼音的全写命名,如:张三,其域名应为,否则一概不予接收!!!
实现以下要求:
一、组织单元、用户组、用户规划
1、创建以各部门命名的组织单元,并创建部门经理用户组;
2、在各组织单元中创建以各部门命名的用户组;
3、在各组织单元中创建所有员工的域用户帐号,并将其添加到所对应用户组,各部门经理帐号加入到部门经理用户组;
4、将各员工计算机加入域,并放置于所对应的组织单元中。
二、文件服务器(位于成员服务器server1)规划:
1、文件夹结构规划:图略;
2、创建“share”并共享,指派所有人对其有“完全控制”共享权限及NTFS权限;
3、在“share”下创建“部门”及“个人”文件夹,分别设置所有人对其有“完全控制”共享权限及NTFS权限;
4、在“部门”下创建以各部门命名的文件夹,并指派仅各部门用户组对所属部门文件夹有“读写权限”,部门经理对所属部门文件夹
有“完全控制”权限;
5、在“个人”文件夹下创建以每个域用户名命名的文件夹,并指派只有用户自己有“完全控制”权限。
三、打印服务器(位于成员服务器server2)规划:(公司只有一台激光打印设备)
1、分别创建hp1、hp
2、hp3对应打印设备并全部设为共享;
2、设置hp1只有总经理可用,其优先级为99,可用时间为每天全部24小时;
3、设置hp2只有总经理及部门经理组可用,其优先级为50,可用埋单为每天全部24小时;
4、设置hp3所有人都可使用,其优先级为1,可用时间为每天8:00~18:00。
四、发布资源
1、发布“share”共享文件夹;
2、发布hp1、hp2、hp3共享打印机。
五、测试查找使用资源
1、将域用户cw1加入域中计算机pc1的本地管理员组;
2、以财务部员工帐号cw1在pc1上登录域;
3、活动目录中查找hp3打印机并打印一文档file-cw1,活动目录中查找“share”,并将文档filw-cw1复制到cw1文件夹中。
作业要求:
1、按要求完成作业,题中所涉及除域名以外的其它相关名称可自行定义;
2、关键步骤截图,并以简洁文字描述;
五、总结
对本章学习内容进行总结,并对同学们的表现进行点评,以鼓励性语言为主。
这一章是解决Windows网络环境中基础结构的问题,是我们研究Windows网络的一个重点和难点,希望大家要投入更多的时间和精力去完成相关内容的学习。
即:
1.工作组结构网络与域结构网络
2.域中计算机角色
3.域的创建
4.对象与组织单位
5.域树与域林
6.域信任
7.域用户和域组
8.用户配置文件
9.共享文件夹创建
10.共享文件夹发布与查找
11.卷影副本
12.脱机文件夹
13.分布式文件系统
14.NTFS权限
15.磁盘配额
16.文件的加密与解密
17.打印机共享
18.打印机发布与查找
19.组策略
20.软件分发
六、预习安排:企业网IP地址解决方案
1.TCP/IP协议
2.IP地址与子网掩码
3.私有IP与公用IP
4.子网划分
5.虚拟局域网(VLAN)
6.IP获取方式
7.DHCP概述
8.客户端何时获取新IP
9.客户端如何获取新IP
10.客户端何时更新租约
11.客户端如何更新租约
12.自动分配私有IP(APIPA)
13.DHCP服务的基本配置
14.IP保留配置
15.DHCP选项配置
16.DHCP超级作用域
17.DHCP中继代理。