精华内容
下载资源
问答
  • windows域工作组概念

    千次阅读 2019-03-22 16:02:55
    局域网上的资源需要管理,“”和“工作组”就是两种不同的网络资源管理模式。那么二者何区别呢?  工作组 Work Group  在一个网络内,可能成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,...

    局域网上的资源需要管理,“域”和“工作组”就是两种不同的网络资源管理模式。那么二者有何区别呢?


      工作组 Work Group 

      在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000就引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。

      那么怎么加入工作组呢?其实很简单,你只需要右击你的Windows桌面上的“网上邻居”,在弹出的菜单出选择“属性”,点击“标识”,在“计算机名”一栏中添入你想好的名字,在“工作组”一栏中添入你想加入的工作组名称。

      如果你输入的工作组名称以前没有,那么相当于新建一个工作组,当然只有你的电脑在里面。计算机名和工作组的长度不能超过15个英文字符,可以输入汉字,但是不能超过7个。“计算机说明”是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如“技术部主管”等。单击[确定]按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入“网上邻居”,就可以看到你所在工作组的成员了。



      一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。

      你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。

      域 Domain 

      与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。 

      实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,就可以访问共享资源,如共享ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。

      在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。

     想把一台电脑加入域,仅仅使它和服务器在“网上邻居”能够相互看到是远远不够的,必须要由网络管理员进行把这台电脑加入域的相关操作。操作过程由服务器端设置和客户端设置构成。

      1、服务器端设置 

      以系统管理员身份在已经设置好Active Directory(活动目录)的Windows 2000 Server上登录,点击“开始/程序/管理工具/Active Directory用户和计算机”,在程序界面中右击“computers”(计算机),在弹出的菜单中单击“新建/计算机”,填入想要加入域的计算机名即可。要加入域的计算机名最好为英文,否则系统会提示中文计算机名可能会引起一些问题。

      2、客户端设置 

      首先要确认计算机名称是否正确,然后在桌面“网上邻居”上右击鼠标,点击“属性”出现网络属性设置窗口,确认“主网络登录”为“Microsoft网络用户”。 

      选中窗口上方的“Microsoft网络用户”(如果没有此项,说明没有安装,点击[添加]安装“Microsoft网络用户”项)。点击 [属性]按钮,出现“Microsoft网络用户 属性”对话框,选中“登录到Windows NT域”复选框,在“Windows NT域”中输入要登录的域名。

      Windows 98会提示需要重新启动计算机,重新启动后,会出现一个登录对话框。在输入正确的域用户账号、密码以及登录域之后,就可以使用Windows 2000 Server域中的资源了。请注意,这里的域用户账号和密码,必须是网络管理员为用户建的那个账号和密码,而不是由本机用户自己创建的账号和密码。如果没有将计算机加入域,或者登录的域名、用户名、密码有一项不正确,就会出现错误信息。

    上文转自:http://www.cnblogs.com/repository/archive/2011/07/06/2099117.html

     

    我的补充:工作组和域都是对计算机(机器设备)来讲的。不是对计算机上的某个用户而言的。

     

    另一篇文章 [该文转自:http://blog.chinaunix.net/uid-20627367-id-1608885.html ]

                                                                  Windows“域”和“工作组”的区别

    问:听说在网络上共享文件时要使用“工作组”和“域”。请教一下上述两个概念之间的区别。另外请问两者应该如何区别使用。

    答:当在由Windows个人电脑搭建的LAN中共享文件和打印机等资源时,通常要设置“工作组”和“域”。两者之间的基本区别在于资源的共享方式和管理用户的方法不同,主要根据LAN的规模来区别使用。

    首先谈一下工作组,通常所说的工作组是指在LAN上共享文件时为了便于访问其他个人电脑而设置的集团,设置方法很简单。例如在配备LAN端子的Windows Me个人电脑中用鼠标右击“我的网络”打开“属性”。然后在“识别信息”标签画面中输入工作组的名称即可。如果在LAN上的每台个人电脑设置相同的工作组名称,那么在“我的网络”中,这些个人电脑将显示在同一个集团中。

    不过如果要想通过工作组控制用户访问共享文件,就需要对于每台设为共享的个人电脑进行设置,增加了访问的复杂程度。例如当一台计算机被设定了密码后,每次从其他个人电脑访问这台电脑中的共享文件时都必须输入密码。

    这样,如果共享计算机的数量和用户数量很多的话,对于每台电脑都进行访问管理就变成了一件非常复杂的事情。为了解决这一问题,就提出了“域”的概念--集中管理所有用户的权限以及设定如何登陆到文件服务器上的共享个人电脑。这个用来管理该域的服务器被称为“域控制器”。与通常启动个人电脑时一样,用户输入用户名和密码登录到域,再访问这个“域”中的共享文件时就无须每次输入密码了。需要强调的一点是,在域控制器中必须安装Windows 2000 Server等服务器OS。

     

     

    再来一遍文章[转自:http://blog.163.com/liang_liu99/blog/static/8841521620100172433565/ ]

    域英文叫DOMAIN 
      ---- 域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。
      域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。 
      以上是一个标准的解释。
      其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登陆也是登陆在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登陆 .
      如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。 
      不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 
      域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。 
      要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享,集中统一,便于管理。
      

    域和组的区别

    工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护的。可是大家要问了,我没有输入过什么密码啊,是的,你确实没有输入,计算机帐户的密码不叫密码,在域中称为登录票据,它是由2000的DC(域控制器)上的KDC服务来颁发和维护的。为了保证系统的安全,KDC服务每30天会自动更新一次所有的票据,并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据,其有效时间是60天,60天后,上次使用的票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的,那么该计算机将不能被KDC服务验证,从而系统将禁止在这个计算机上的任何访问请求(包括登录),解决的方法呢,简单的方法使将计算机脱离域并重新加入,KDC服务会重新设置这一票据。或者使用2000资源包里的NETDOM命令强制重新设置安全票据。因此在有域的环境下,请尽量不要在计算机加入域后使用GHOST备份系统分区,如果作了,请在恢复时确认备份是在60天内作的,如果超出,就最好联系你的系统管理员,你可以需要管理员重新设置计算机安全票据,否则你将不能登录域环境。


    域和工作组适用的环境不同,域一般是用在比较大的网络里,工作组则较小,在一个域中需要一台类似服务器的计算机,叫域控服务器,其他电脑如果想互相访问首先都是经过它的,但是工作组则不同,在一个工作组里的所有计算机都是对等的,也就是没有服务器和客户机之分的,但是和域一样,如果一台计算机想访问其他计算机的话首先也要找到这个组中的一台类似组控服务器,组控服务器不是固定的,以选举的方式实现,它存储这这个组的相关信息,找到这台计算机后得到组的信息然后访问。讲的有点简单,上面组的一些东西有些是我自己抓包进行分析的,可能会有点错误。


    关于域和工作组工别的形象论述:
    1、中央集权与各自为政的区别。 2、域的安全性高于工作组。 3、域 好比校长董事会 工作组 好比下面的各个系部 4、感觉如果设的不好,你在域管理者面前有可能是裸奔. 5、楼上的解释好像不大对, 这么说吧, 工作组是自由市场, 有几个工作组就有几个自由市场, 你可以随时自由出入而没什么限制,从网上邻居最先看到的往往是自己机器所在的工作组的机器们。而域是严格控制权限的私人会所, 没有正确的域用户是根本无法登录到域上的,也就无法访问域所控制的资源。 6、域的登陆密码是通过服务器验证的 7、看样子要提醒MS以后不要将名称搞的这么专业,还是要考虑到中国的国情,早知道将"域"改成"中央"将"工作组"改成"自由市场",这样方便易懂,就不会有这么多的问题了. 8、简单的说域是具有管理的能力的一种机制,采用的是分级的管理权限,比如:中央-》省->市-》县-》。。。-》个人但权限比这还要严格得多。 而工作组在有域服务的时候,也就是网络中已经存在域服务器的时候可以看作是域中除去工作站外最简单的组织结构,在没有域服务的时候相互间是可以相互访问的。 9、网上复制过来的 局域网中工作组和域的主要差别! 为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。

    那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢? “自由”的工作组 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。 那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的“网上邻居”,在弹出的菜单出选择“属性”,点击“标识”,在“计算机名”一栏中添入你想好的名字,在“工作组”一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。“计算机说明”是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如“数学系主机”等。单击“确定”按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入“网上邻居”,就可以看到你所在工作组的成员了。 相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。

     

     

     

     

    参考:

    https://blog.csdn.net/neil_lee_/article/details/8742120
    https://www.douban.com/note/527276260/?type=rec

    展开全文
  • Windows域工作

    千次阅读 2012-06-08 10:47:08
     (Domain)是Windows网络中独立运行的单位,之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在之间的桥梁。当一个与其他建立了信任关系后,2个之间不但可以按需要相互进行管理,...
    域的定义
      域英文叫DOMAIN
      域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。
      域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。
      域:域是一种管理边界,用于一组计算机共享共用的安全数据库,域实际上就是一组服务器和工作站的集合。

      域在文件系统中,有时也称做“字段”,是指数据中不可再分的基本单元。一个域包含一个值。如学生的名字等。可以通过数据类型(如二进制、字符、字符串等)和长度(占用的字节数)两个属性对其进行描述。


    域与工作组的关系
      其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
      如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
      工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护的。可是大家要问了,我没有输入过什么密码啊,是的,你确实没有输入,计算机帐户的密码不叫密码,在域中称为登录票据,它是由2000的DC(域控制器)上的KDC服务来颁发和维护的。为了保证系统的安全,KDC服务每30天会自动更新一次所有的票据,并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据,其有效时间是60天,60天后,上次使用的票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的,那么该计算机将不能被KDC服务验证,从而系统将禁止在这个计算机上的任何访问请求(包括登录),解决的方法呢,简单的方法使将计算机脱离域并重新加入,KDC服务会重新设置这一票据。或者使用2000资源包里的NETDOM命令强制重新设置安全票据。因此在有域的环境下,请尽量不要在计算机加入域后使用GHOST备份系统分区,如果作了,请在恢复时确认备份是在60天内作的,如果超出,就最好联系你的系统管理员,你可以需要管理员重新设置计算机安全票据,否则你将不能登录域环境。
    展开全文
  • Windows AD功能介绍、Windows AD方案介绍 功能一、AD管理 https://www.manageengine.cn/products/ad-manager/ 1、AD管理 通过批量创建和编辑用户帐户,指派管理权限等,简化Windows AD的管理。 2、...

    Windows AD域功能介绍、Windows AD域方案介绍


    功能一、AD域管理

    https://www.manageengine.cn/products/ad-manager/

    1、AD域管理
    通过批量创建和编辑用户帐户,指派管理权限等,简化Windows AD域的管理。
    2、批量管理域用户
    使用CSV文件批量导入用户、编辑用户属性、重置密码、批量迁移用户和用户对象。
    3、批量创建域用户
    通过导入CSV文件,批量创建用户,包含Exchange邮箱、终端服务等所有属性,指派到组。
    4、批量编辑域用户
    批量重置密码、解锁用户、迁移用户、删除/启用/禁用用户、添加到组或从组中移除、修改用户属性等。
    5、管理不活跃/禁用的用户帐户
    通过生成不活域/禁用的用户帐户列表,轻松删除、启用或迁移帐户,达到清理AD域的目的。
    6、AD域密码管理
    重置多个用户帐户的密码、配置密码策略、启用/禁用密码过期的用户。
    7、手机App
    通过手机App执行重置密码、启用、禁用、解锁以及删除用户帐户等操作。
    8、AD域计算机管理
    批量创建计算机、启用、禁用和迁移计算机,修改计算机属性和所属组。
    9、终端服务管理
    批量编辑终端服务主文件夹、路径、启动程序、会话时间和远程设置。

    功能二、AD域报表

    https://www.manageengine.cn/products/ad-manager/
    1、AD域报表
    默认提供150多种报表,全面分析Windows AD域架构。
    2、AD域用户报表
    全面的用户分析报表,包括不活跃的用户、被锁定的用户、最后登录的用户以及被禁用的用户等。
    3、用户登录报表
    生成用户登录行为报表,包括登录时间、时长等属性。
    4、密码报表
    包括密码状态、安全权限、密码过期、无效登录尝试和密码变更报表。
    5、最后登录报表
    了解某组织单元、组或整个AD域里,用户最后一次登录时间,包括帐户状态、帐户创建时间等信息。
    6、计算机报表
    全面的计算机对象、域控制器、工作站、计算机帐户状态以及按照操作系统分类的报表。
    7、组报表
    所有类型的安全和分发组,包括其中的组成员报表以及分发列表及成员报表。
    8、组织单元报表
    详细的组织单元报表,包括最近创建的组织单元、最近修改的组织单元、GPO链接的组织单元、GPO阻止继承的组织单元以及空的组织单元。
    9、计划报表
    设置报表计划,自动生成并发送报表,报表可导出为CSV、PDF和HTML格式文件。

    功能三、权限指派/工作流

    https://www.manageengine.cn/products/ad-manager/

    1、帮助台管理https://www.manageengine.cn/products/ad-manager/
    将管理权限指派给帮助台技术员或HR,降低AD管理员的工作负荷。
    2、管理权限指派
    设置工作流程,安全地将管理权限指派给其他用户。
    3、划分不同权限
    设置不同的角色,配置不同的管理权限,确保AD域的安全。
    4、基于组织单元的权限指派
    为一个组织单元配置一个管理员,执行相关的管理操作。
    5、安全指派
    按照一定的规则,设置管理权限,确保信息安全。

    功能四、Exchange管理

    1、Exchange服务器管理
    在一个平台全面管理Exchange服务器和AD。
    2、邮箱创建
    批量创建邮箱,支持Exchange Server 2003, 2007/2010/2013版本和Office 365。
    3、设置邮箱权限
    可通过模板轻松批量设置邮箱权限,支持Exchange Servers 2003和2007/2010/2013。
    4、禁用/删除Exchange邮箱
    批量禁用和删除邮箱。
    5、分发列表报表
    全面分析分发列表,提供分发组、分发列表成员和非分发列表成员报表。
    6、Exchange服务器邮箱迁移
    批量将邮箱迁移到指定的Exchange服务器。
    7、Exchange策略管理
    应用多个Exchange策略,例如共享策略、角色指派策略、保留策略、UM策略和ActiveSync策略。

    此内容由ManageEngien原创编辑整理,转载请标明出处。

    展开全文
  • windows 认证 Kerberos详解

    万次阅读 2019-02-19 22:58:19
    windows 工作中经常遇到,一直没有好好总结过,乘着最近时间,将自己所理解的与大家分享一下 0x01、 Kerberos认证简介 windows 对于身份验证多种方式,比如现在笔记本很常见的指纹解锁开机。在中,依旧...

    windows 域在工作中经常遇到,一直没有好好总结过,乘着最近有时间,将自己所理解的与大家分享一下

    0x01、 Kerberos认证简介

    windows 对于身份验证有多种方式,比如现在笔记本很常见的指纹解锁开机。在域中,依旧使用 Kerberos 作为认证手段。
    在这里插入图片描述
    Kerberos 这个名字来源于希腊神话,是冥界守护神兽的名字。
    在这里插入图片描述
    Kerberos 是一个三头怪兽,之所以用它来命名一种完全认证协议,是因为整个认证过程涉及到三方:客户端、服务端和 KDC(Key Distribution Center)。在 Windows 域环境中,KDC 的角色由 DC(Domain Controller)来担当。

    Kerberos 是一种基于票据 ticket 的认证方式,举个简单的例子来说:

    • 你想参加一场舞会,被拒绝,对方告诉你需要门票
    • 你又去往领门票的地方,对方审查你的资格后,发给你一张门票
    • 最终你凭着这张门票参加了这场舞会,但是对于其他场次的舞会,你任须要去经过资格审查领取门票

    下面就来详细聊聊域认证 Kerberos ,值得注意的是,这个流程与上述例子还是有区别的,切勿照搬例子带入

    0x02、域认证 Kerberos 流程

    这块牵涉到的名词比较多,先在前面进行列出,并给出简写

    简写 全拼
    DC Domain Controller 域控
    KDC Key Distribution Center 密钥分发中心
    AD Account Database 账户数据库
    AS Authentication Service 身份验证服务
    TGS Ticket Granting Service 票据授与服务
    TGT Ticket Granting Ticket 票据中心授予的票据

    先来就下图做一个详细的流程说明:
    在这里插入图片描述

    1. Authentication Service Exchange 认证服务交换

    通过这步骤,AS 实现对 Client 身份的确认,并颁发给该 Client 一个 TGT 。具体过程如下:

    client 向 AS 发送 AS Request, 为了确 AS Request 仅限于自己和 KDC 知道,client使用自己的 Master Key(用户密码的一种hash) 对 AS Request 的主体部分进行加密(KDC 可以通 AD 获得该Client 的 Master Key)。
    在这里插入图片描述
    AS Request 的大体包含以下的内容:

    • Pre-authentication data:被 Client 的 Master key加密过的 Timestamp,用于证明自己是所发送用户名对应的那个用户
    • Client name & realm: 简单地说就是Domain name\Client name
    • Server Name:注意这里的 Server Name并不是 Client 真正要访问的 Server 的名称,而我们也说了 TGT 是和 Server 无关的( Client 只能使用 Ticket ,而不是 TGT 去访问Server )。这里的 Server Name 实际上是 KDC TGS 的 Server Name
      在这里插入图片描述
      AS 通过它接收到的 AS Request 验证发送方的是否是在 Client name & realm 中声称的那个人,也就是说要验证发送放是否知道 Client 的 Password 。所以 AS 只需从 AD 中提取 Client 对应的 Master Key对 Pre-authentication data 进行解密,如果是一个合法的 Timestamp,则可以证明发送方提供的用户名是存在于白名单中且密码对应正确的。

    在这里,可能会产生一个疑问,为什么要使用 Timestamp,这种时间戳?

    我们试想一下,如果恶意攻击者抓取了一个这样的AS Request数据包,用算力一直去爆破尝试,那是不是有不小的机会获取 TGT 。所以在 AS 进行其他操作之前,会先提取AS Request中的 Timestamp ,并同当前的时间进行比较,如果他们之间的偏差超出一个可以接受的时间范围(一般是5mins),AS 会直接拒绝该 Client 的请求。当AS Request中的 Timestamp 早于上次认证时间点,也是直接拒绝。

    验证通过之后,AS 将一份 AS Response 发送给 Client。AS Response 主要包含两个部分:本 Client 的 Master Key 加密过的 Logon Session Key 和被自己(KDC)加密的TGT。

    而TGT大体又包含以下的内容:

    • Session Key: SKDC-Client:Logon Session Key
    • Client name & realm: 简单地说就是Domain name\Client
    • End time: TGT到期的时间。

    Client 通过自己的 Master Key 对第一部分解密获得 Logon Session Key之后,携带着 TGT 便可以进入下一步:TGS Exchange。

    2. Ticket Granting Service Exchange 票据授与服务交换

    TGS Exchange 通过 Client 向 KDC 中的 TGS 发送 TGS Request 开始。TGS Request大体包含以下的内容:

    • TGT:Client 通过 AS Exchange 获得的 TGT,TGT 被 KDC 的 Master Key 进行加密。
    • Authenticator:用以证明当初 TGT 的拥有者是否就是自己, client 端使用 Logon session key 进行加密
    • Client name & realm: 简单地说就是 Domain name\Client 。
    • Server name & realm: 简单地说就是 Domain name\Server ,这回是 Client 试图访问的那个 Server 。
    • 时间戳,同第一步,这里略

    Hint :Authenticator在这里可以理解为仅限于验证双反预先知晓的内容,相当于联络暗号

    在这里插入图片描述
    TGS 收到TGS Request在发给 Client 真正的 Ticket 之前,先得整个 Client 提供的那个 TGT 是否是 AS 颁发给它的。于是它得通过 Client 提供的 Authenticator 来证明。但是 Authentication 是通过 Logon Session Key 进行加密的,而自己并没有保存这个 Session Key 。所以 TGS 先得通过自己的 Master Key 对 Client 提供的 TGT 进行解密,从而获得这个Logon Session Key ,再通过这个 Logon Session Key 解密 Authenticator 进行验证。

    换句话说,TGS 接收到请求之后,现通过自己的密钥解密 TGT 并获取 Logon Session Key ,然后通过 Logon Session Key 解密 Authenticator ,进而验证了对方的真实身份。

    验证通过向对方发送 TGS Response。这个TGS Response有两部分组成:

    • 使用Logon Session Key(SKDC-Client)加密过用于Client和Server的Session Key(SServer-Client)
    • 使用Server的Master Key进行加密的Ticket。

    该Ticket大体包含以下一些内容:

    • Session Key:SServer-Client。
    • Client name & realm: 简单地说就是Domain name\Client。
    • End time: Ticket的到期时间。

    Client 收到TGS Response,使用 Logon Session Key,解密第一部分后获得 Session Key (注意区分 Logon Session Key 与 Session Key 分别是什么步骤获得的,及其的区别)。有了 Session Key 和 Ticket , Client 就可以之间和 Server 进行交互,而无须在通过 KDC 作中间人了。

    Client如果使用Ticket和Server怎样进行交互的,这个阶段通过我们的第3个步骤来完成:CS(Client/Server )Exchange。

    3. CS(Client/Server )Exchange

    Client 通过 TGS Exchange 获得 Server 的 Session Key ,随后创建用于证明自己就是 Ticket 的真正所有者的 Authenticator 和时间戳,并使用 Session Key 进行加密。最后将这个被加密过的 Authenticator,时间戳 和 Ticket 作为 Request 数据包发送给 Server 。此外还包含一个 Flag 用于表示 Client 是否需要进行双向验证。

    Server 接收到 Request 之后,通过自己的 Master Key 解密 Ticket,从而获得 Session Key 。通过 Session Key 解密 Authenticator ,进而验证对方的身份。验证成功,让 Client 访问需要访问的资源,否则直接拒绝对方的请求。时间戳的作用,同第一步,这里略。

    实际上,到目前为止,服务端已经完成了对客户端的验证,但是,整个认证过程还没有结束。谈到认证,很多人都认为只是服务器对客户端的认证,实际上在大部分场合,我们需要的是双向验证(Mutual Authentication)——访问者和被访问者互相验证对方的身份。现在服务器已经可以确保客户端是它所声称的那么用户,客户端还没有确认它所访问的不是一个钓鱼服务呢。

    为了解决客户端对服务器的验证,服务要需要将解密后的 Authenticator 再次用 Session Key 进行加密,并发挥给客户端。客户端再用缓存 Session Key 进行解密,如果和之前的内容完全一样,则可以证明自己正在访问的服务器和自己拥有相同 Session Key,而这个会话秘钥不为外人知晓。

    三个流程的总结

    上面的文字很多,为了帮助理解,下面我用一些简写去代替上面的名词,粗略的将域认证 Kerberos 原理再次讲述一遍

    简写 含义
    A client
    B AS
    C TGS
    D server
    1. A 访问 B,发送请求包,其中包括 A 的名字和使用A 的 key_a 加密的时间戳
    2. B 通过查询内部数据库,得到 请求包中名字对应的 key ,如果用这把 key 可以解出一个规范的时间戳,且该时间戳时间与当前时间戳差距小于5 min,则返回 A 一个返回包
    3. 返回包包括使用 a_key 加密的 key1,和 A 无法使用的 data1
    4. A 使用 a_key 解密出 key1 ,将联络暗号使用 key1 进行加密和 data1 一起发送给 C
    5. C 收到请求包,解开 data1 ,取出 key1。使用 key1 解密联络暗号,确认 A 的身份
    6. 确认无误,C 返回 A 一个返回包。包括使用 key_d 加密的 data2 和 key2
    7. A 使用 key2 加密联络暗号,将其和 data2 一起发往 D 处
    8. D 使用 key_d 解密出 data2 ,取出 key2 ,验证联络暗号
    9. D 验证无误后使用 key2 加密联络暗号2发往 A
    10. A 使用 key2 解密联络暗号2,确认 D 身份,最终实现资源访问

    如果还是不能理解的话,补充一个趣味例子吧

    • 用户要去游乐场,首先要在门口检查用户的身份(即 CHECK 用户的 ID),如果用户通过验证,游乐场的门卫 (AS) 即提供给用户一张门卡 (TGT)。

    • 这张卡片的用处就是告诉游乐场的各个场所,用户是通过正门进来,而不是后门偷爬进来的,并且也是获取进入场所一把钥匙。

    • 这时摩天轮的服务员拦下用户,向用户要求提供摩天轮的 (ST) 票据,用户说用户只有一个门卡 (TGT), 那用户只要把 TGT 放在一旁的票据授权机 (TGS) 上刷一下。

    • 票据授权机 (TGS) 就根据用户现在所在的摩天轮,给用户一张摩天轮的票据 (ST), 这样用户有了摩天轮的票据,现在用户可以畅通无阻的进入摩天轮里游玩了。

    • 当然如果用户玩完摩天轮后,想去游乐园的过山车玩耍一下,那用户一样只要带着那张门卡 (TGT). 到过山车的票据授权机 (TGS) 刷一下,得到过山车的票据 (ST) 就可以进入过山车进行玩耍。

    • 当用户离开游乐场后,用户的 TGT 就已经过期并且销毁。

    参考链接:
    https://docs.microsoft.com/en-us/windows/desktop/secauthn/microsoft-kerberos
    https://web.mit.edu/kerberos/
    https://www.freebuf.com/articles/database/190734.html
    http://www.cnblogs.com/artech/archive/2011/01/24/kerberos.html
    http://www.cnblogs.com/artech/archive/2007/07/05/807492.html
    http://www.cnblogs.com/artech/archive/2007/07/07/809545.html
    http://www.cnblogs.com/artech/archive/2007/07/10/811970.html
    https://payloads.online/archivers/2018-11-30/1

    展开全文
  • ADWindows AD管理功能大全

    万次阅读 多人点赞 2018-07-30 13:33:03
    Windows AD管理功能大全,再也不用东拼西凑了! 功能一、AD管理 1、AD管理 通过批量创建和编辑用户帐户,指派管理权限等,简化Windows AD的管理。 2、批量管理用户 使用CSV文件批量导入用户、编辑...
  • Windows AD管理软件是什么?  ADManager Plus是一个简单易用的Windows AD管理工具,帮助管理员简化日常的管理工作。通过直观友好的操作界面,可以执行复杂的管理操作,比如批量管理用户帐号和其它AD对象、...
  • Windows 时间同步

    千次阅读 2016-12-29 13:46:05
    Windows 时间同步 Windows Server 包含 W32Time,它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务可确保组织中运行 Microsoft Windows 2000 Server 操作系统或更高版本的所有计算机都使用同一...
  • windows域管理

    千次阅读 多人点赞 2020-03-30 21:32:01
    工作组:默认模式(此电脑右击属性)-----人人平等,不方便管理 :人人不平等,可以集中管理,统一管理 的组成: 控制器:DC (Domain Controller) 成员机:普通成员 的部署: 安装控制器就生成了环境 ...
  • windows 介绍

    千次阅读 多人点赞 2018-07-27 16:51:51
    在今天很多人都意识或无意识的跟这个东西打过交道。如果你在公司里使用电脑,并且你的电脑接入了公司的局域网,那你的电脑很可能就在一个中。如何查看你的电脑是否连接到一个中,以Windows为例,右击我的...
  • Windows 2003中的工作

    千次阅读 2008-03-21 12:14:00
    用户可以利用windows server 2003 来构建网络,以便在网络上共享其它计算机的资源.windows server 2003支持两种网络类型.1.工作组$|(E:L q n q2.其中工作组结构为分布式的管理模式,适用于小型的网络.结构为集中式...
  • 当您登录到环境中运行 Windows 7 的计算机上时,您会收到以下错误消息: 此工作站和主之间的信任关系失败。 解决方案 若要解决此问题,请从中删除计算机,然后将计算机连接到。 若要执行此操作...
  • 众所周知,Windows Server 2016 与其它版本不同的地方就是支持 Windows10 加入服务了。
  • Server 2012配置Windows AD

    万次阅读 多人点赞 2018-12-03 16:43:16
    Windows域介绍】 Windows网络中独立运行的单位,之间相互访问则需要建立信任关系。信任关系是连接在...在“”模式下,至少一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单...
  • windows域的创建

    千次阅读 2020-10-04 06:32:19
    win+R 输入dcpromo 然后就是安装二进制文件 直接点击下一步 新建 输入 下一步 下一步 选择dns服务器,然后下一步
  • windows2003设置

    千次阅读 2009-02-11 13:52:00
    按照微软的说法,一般网络中的PC数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用的管理模式,因为可以提供一种集中式的管理,这相比于对等网的分散管理非常多的好处,那么如何把一台成员...
  • Windows 添加用户

    千次阅读 2016-10-08 17:08:00
    1. 开始–>管理工具–> Active Directory用户和计算机 2. 在“User”下新建一个用户...本地计算机加入后,不会自动生成对应的用户。需要AD管理员添加对应的账户 管理员在2009年8月13日编辑了该文章文章。 -->
  • Windows Server 2016上实施工作组群集和多群集 在Windows Server的早期版本中,必须将群集的所有节点都加入Active Directory,而在Windows Server 2016中,引入了使用工作组节点创建群集的可能性,因此无需...
  • Windows 2000 控制器升级到 Windows Server 2003和林清点在将 Windows Server 2003 架构更改或 Windows Server 2003 控制器添加到生产 Windows 2000 林之前,按照以下步骤操作: 1. 清点访问您要升级的中...
  • 虚拟机安装的今天莫名蓝屏了,无法开起来,复制了之前备份的,开起来了,但是电脑连的时候提示此工作站和主的信任关系失败,怎么处理,服务器上用域帐号登录也无法进入
  • 图解Windows域的命令行操作

    千次阅读 2016-09-08 19:15:03
    Windows域相关命令 相关命令 向中添加用户: net user username passwd /add /domain 禁止/激活用户: net user username passwd /active:no[|yes] /domain 删除用户: ... ...查询内用户 dsquery
  • Windows 10 修改用户密码

    千次阅读 2020-12-21 18:37:53
    Windows下修改用户密码的方法
  • Windows域 Active Directory介绍

    千次阅读 2012-10-11 17:44:29
    在今天很多人都意识或无意识的跟这个东西打过交道。如果你在公司里使用电脑,并且你的电脑接入了公司的局域网,那你的电脑很可能就在一个中。如何查看你的电脑是否连接到一个中,以Windows为例,右击我的...
  • windows中AD的部署

    千次阅读 2017-11-08 20:27:45
    windows中AD的部署
  • Windows和活动目录

    千次阅读 2006-05-18 21:47:00
    Windows和活动目录 本文缩略词语
  • 工作有什么区别?A:“和"工作组"有什么区别? 请问,网络中”“是指什么?"工作组"是什么?我一直搞不清楚这两个有什么区别? 1、中央集权与各自为政的区别。 2、的安全性高于工作组。 3、 好比...
  • 将samba加入到windows域

    千次阅读 2019-05-23 15:49:04
    一台Windows计算机,它要么隶属于工作组,要么隶属于。所以说到,我们就不得不提一下工作组,工作组是MS的概念,一般的普遍称谓是对等网。 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以...
  • 迁移前的环境: 两台Windows 2000 Advavced Server控制器,一台运行在Windows 2000 Advavced Server成员服务器上的Exchange 2000邮件服务器。迁移要求: 一台新安装的Windows 2003服务器作为其中一台控制器,...
  • 最近工作相关再次涉及的了Windows域,内部IT管理一般会以组织架构为基础,无论面向办公的需求,PC、OA系统、内部相关网络服务的管理,如打印、共享、DNS、DHCP、软件分发等,还是从审计要求出发,安全角度考虑的统一...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 141,434
精华内容 56,573
关键字:

windows工作域有什么用