精华内容
下载资源
问答
  • Windows域和集群

    2016-12-12 09:04:36
    Windows域和集群的配置使用
  • windows 认证 Kerberos详解

    万次阅读 多人点赞 2019-02-19 22:58:19
    windows 在工作中经常遇到,一直没有好好总结过,乘着最近有时间,将自己所理解的与大家分享一下 0x01、 Kerberos认证简介 windows 对于身份验证有多种方式,比如现在笔记本很常见的指纹解锁开机。在中,依旧...

    windows 域在工作中经常遇到,一直没有好好总结过,乘着最近有时间,将自己所理解的与大家分享一下

    0x01、 Kerberos认证简介

    windows 对于身份验证有多种方式,比如现在笔记本很常见的指纹解锁开机。在域中,依旧使用 Kerberos 作为认证手段。
    在这里插入图片描述
    Kerberos 这个名字来源于希腊神话,是冥界守护神兽的名字。
    在这里插入图片描述
    Kerberos 是一个三头怪兽,之所以用它来命名一种完全认证协议,是因为整个认证过程涉及到三方:客户端、服务端和 KDC(Key Distribution Center)。在 Windows 域环境中,KDC 的角色由 DC(Domain Controller)来担当。

    Kerberos 是一种基于票据 ticket 的认证方式,举个简单的例子来说:

    • 你想参加一场舞会,被拒绝,对方告诉你需要门票
    • 你又去往领门票的地方,对方审查你的资格后,发给你一张门票
    • 最终你凭着这张门票参加了这场舞会,但是对于其他场次的舞会,你任须要去经过资格审查领取门票

    下面就来详细聊聊域认证 Kerberos ,值得注意的是,这个流程与上述例子还是有区别的,切勿照搬例子带入

    0x02、域认证 Kerberos 流程

    这块牵涉到的名词比较多,先在前面进行列出,并给出简写

    简写全拼
    DCDomain Controller 域控
    KDCKey Distribution Center 密钥分发中心
    ADAccount Database 账户数据库
    ASAuthentication Service 身份验证服务
    TGSTicket Granting Service 票据授与服务
    TGTTicket Granting Ticket 票据中心授予的票据

    先来就下图做一个详细的流程说明:
    在这里插入图片描述

    1. Authentication Service Exchange 认证服务交换

    通过这步骤,AS 实现对 Client 身份的确认,并颁发给该 Client 一个 TGT 。具体过程如下:

    client 向 AS 发送 AS Request, 为了确 AS Request 仅限于自己和 KDC 知道,client使用自己的 Master Key(用户密码的一种hash) 对 AS Request 的主体部分进行加密(KDC 可以通 AD 获得该Client 的 Master Key)。
    在这里插入图片描述
    AS Request 的大体包含以下的内容:

    • Pre-authentication data:被 Client 的 Master key加密过的 Timestamp,用于证明自己是所发送用户名对应的那个用户
    • Client name & realm: 简单地说就是Domain name\Client name
    • Server Name:注意这里的 Server Name并不是 Client 真正要访问的 Server 的名称,而我们也说了 TGT 是和 Server 无关的( Client 只能使用 Ticket ,而不是 TGT 去访问Server )。这里的 Server Name 实际上是 KDC TGS 的 Server Name
      在这里插入图片描述
      AS 通过它接收到的 AS Request 验证发送方的是否是在 Client name & realm 中声称的那个人,也就是说要验证发送放是否知道 Client 的 Password 。所以 AS 只需从 AD 中提取 Client 对应的 Master Key对 Pre-authentication data 进行解密,如果是一个合法的 Timestamp,则可以证明发送方提供的用户名是存在于白名单中且密码对应正确的。

    在这里,可能会产生一个疑问,为什么要使用 Timestamp,这种时间戳?

    我们试想一下,如果恶意攻击者抓取了一个这样的AS Request数据包,用算力一直去爆破尝试,那是不是有不小的机会获取 TGT 。所以在 AS 进行其他操作之前,会先提取AS Request中的 Timestamp ,并同当前的时间进行比较,如果他们之间的偏差超出一个可以接受的时间范围(一般是5mins),AS 会直接拒绝该 Client 的请求。当AS Request中的 Timestamp 早于上次认证时间点,也是直接拒绝。

    验证通过之后,AS 将一份 AS Response 发送给 Client。AS Response 主要包含两个部分:本 Client 的 Master Key 加密过的 Logon Session Key 和被自己(KDC)加密的TGT。

    而TGT大体又包含以下的内容:

    • Session Key: SKDC-Client:Logon Session Key
    • Client name & realm: 简单地说就是Domain name\Client
    • End time: TGT到期的时间。

    Client 通过自己的 Master Key 对第一部分解密获得 Logon Session Key之后,携带着 TGT 便可以进入下一步:TGS Exchange。

    2. Ticket Granting Service Exchange 票据授与服务交换

    TGS Exchange 通过 Client 向 KDC 中的 TGS 发送 TGS Request 开始。TGS Request大体包含以下的内容:

    • TGT:Client 通过 AS Exchange 获得的 TGT,TGT 被 KDC 的 Master Key 进行加密。
    • Authenticator:用以证明当初 TGT 的拥有者是否就是自己, client 端使用 Logon session key 进行加密
    • Client name & realm: 简单地说就是 Domain name\Client 。
    • Server name & realm: 简单地说就是 Domain name\Server ,这回是 Client 试图访问的那个 Server 。
    • 时间戳,同第一步,这里略

    Hint :Authenticator在这里可以理解为仅限于验证双反预先知晓的内容,相当于联络暗号

    在这里插入图片描述
    TGS 收到TGS Request在发给 Client 真正的 Ticket 之前,先得整个 Client 提供的那个 TGT 是否是 AS 颁发给它的。于是它得通过 Client 提供的 Authenticator 来证明。但是 Authentication 是通过 Logon Session Key 进行加密的,而自己并没有保存这个 Session Key 。所以 TGS 先得通过自己的 Master Key 对 Client 提供的 TGT 进行解密,从而获得这个Logon Session Key ,再通过这个 Logon Session Key 解密 Authenticator 进行验证。

    换句话说,TGS 接收到请求之后,现通过自己的密钥解密 TGT 并获取 Logon Session Key ,然后通过 Logon Session Key 解密 Authenticator ,进而验证了对方的真实身份。

    验证通过向对方发送 TGS Response。这个TGS Response有两部分组成:

    • 使用Logon Session Key(SKDC-Client)加密过用于Client和Server的Session Key(SServer-Client)
    • 使用Server的Master Key进行加密的Ticket。

    该Ticket大体包含以下一些内容:

    • Session Key:SServer-Client。
    • Client name & realm: 简单地说就是Domain name\Client。
    • End time: Ticket的到期时间。

    Client 收到TGS Response,使用 Logon Session Key,解密第一部分后获得 Session Key (注意区分 Logon Session Key 与 Session Key 分别是什么步骤获得的,及其的区别)。有了 Session Key 和 Ticket , Client 就可以之间和 Server 进行交互,而无须在通过 KDC 作中间人了。

    Client如果使用Ticket和Server怎样进行交互的,这个阶段通过我们的第3个步骤来完成:CS(Client/Server )Exchange。

    3. CS(Client/Server )Exchange

    Client 通过 TGS Exchange 获得 Server 的 Session Key ,随后创建用于证明自己就是 Ticket 的真正所有者的 Authenticator 和时间戳,并使用 Session Key 进行加密。最后将这个被加密过的 Authenticator,时间戳 和 Ticket 作为 Request 数据包发送给 Server 。此外还包含一个 Flag 用于表示 Client 是否需要进行双向验证。

    Server 接收到 Request 之后,通过自己的 Master Key 解密 Ticket,从而获得 Session Key 。通过 Session Key 解密 Authenticator ,进而验证对方的身份。验证成功,让 Client 访问需要访问的资源,否则直接拒绝对方的请求。时间戳的作用,同第一步,这里略。

    实际上,到目前为止,服务端已经完成了对客户端的验证,但是,整个认证过程还没有结束。谈到认证,很多人都认为只是服务器对客户端的认证,实际上在大部分场合,我们需要的是双向验证(Mutual Authentication)——访问者和被访问者互相验证对方的身份。现在服务器已经可以确保客户端是它所声称的那么用户,客户端还没有确认它所访问的不是一个钓鱼服务呢。

    为了解决客户端对服务器的验证,服务要需要将解密后的 Authenticator 再次用 Session Key 进行加密,并发挥给客户端。客户端再用缓存 Session Key 进行解密,如果和之前的内容完全一样,则可以证明自己正在访问的服务器和自己拥有相同 Session Key,而这个会话秘钥不为外人知晓。

    三个流程的总结

    上面的文字很多,为了帮助理解,下面我用一些简写去代替上面的名词,粗略的将域认证 Kerberos 原理再次讲述一遍

    简写含义
    Aclient
    BAS
    CTGS
    Dserver
    1. A 访问 B,发送请求包,其中包括 A 的名字和使用A 的 key_a 加密的时间戳
    2. B 通过查询内部数据库,得到 请求包中名字对应的 key ,如果用这把 key 可以解出一个规范的时间戳,且该时间戳时间与当前时间戳差距小于5 min,则返回 A 一个返回包
    3. 返回包包括使用 a_key 加密的 key1,和 A 无法使用的 data1
    4. A 使用 a_key 解密出 key1 ,将联络暗号使用 key1 进行加密和 data1 一起发送给 C
    5. C 收到请求包,解开 data1 ,取出 key1。使用 key1 解密联络暗号,确认 A 的身份
    6. 确认无误,C 返回 A 一个返回包。包括使用 key_d 加密的 data2 和 key2
    7. A 使用 key2 加密联络暗号,将其和 data2 一起发往 D 处
    8. D 使用 key_d 解密出 data2 ,取出 key2 ,验证联络暗号
    9. D 验证无误后使用 key2 加密联络暗号2发往 A
    10. A 使用 key2 解密联络暗号2,确认 D 身份,最终实现资源访问

    如果还是不能理解的话,补充一个趣味例子吧

    • 用户要去游乐场,首先要在门口检查用户的身份(即 CHECK 用户的 ID),如果用户通过验证,游乐场的门卫 (AS) 即提供给用户一张门卡 (TGT)。

    • 这张卡片的用处就是告诉游乐场的各个场所,用户是通过正门进来,而不是后门偷爬进来的,并且也是获取进入场所一把钥匙。

    • 这时摩天轮的服务员拦下用户,向用户要求提供摩天轮的 (ST) 票据,用户说用户只有一个门卡 (TGT), 那用户只要把 TGT 放在一旁的票据授权机 (TGS) 上刷一下。

    • 票据授权机 (TGS) 就根据用户现在所在的摩天轮,给用户一张摩天轮的票据 (ST), 这样用户有了摩天轮的票据,现在用户可以畅通无阻的进入摩天轮里游玩了。

    • 当然如果用户玩完摩天轮后,想去游乐园的过山车玩耍一下,那用户一样只要带着那张门卡 (TGT). 到过山车的票据授权机 (TGS) 刷一下,得到过山车的票据 (ST) 就可以进入过山车进行玩耍。

    • 当用户离开游乐场后,用户的 TGT 就已经过期并且销毁。

    参考链接:
    https://docs.microsoft.com/en-us/windows/desktop/secauthn/microsoft-kerberos
    https://web.mit.edu/kerberos/
    https://www.freebuf.com/articles/database/190734.html
    http://www.cnblogs.com/artech/archive/2011/01/24/kerberos.html
    http://www.cnblogs.com/artech/archive/2007/07/05/807492.html
    http://www.cnblogs.com/artech/archive/2007/07/07/809545.html
    http://www.cnblogs.com/artech/archive/2007/07/10/811970.html
    https://payloads.online/archivers/2018-11-30/1

    展开全文
  • Windows 时间同步

    万次阅读 2016-12-29 13:46:05
    Windows 时间同步 Windows Server 包含 W32Time,它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务可确保组织中运行 Microsoft Windows 2000 Server 操作系统或更高版本的所有计算机都使用同一...

    Windows 域时间同步


    Windows Server 包含 W32Time,它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务可确保组织中运行 Microsoft Windows 2000 Server 操作系统或更高版本的所有计算机都使用同一时间。

    当 Windows AD 域搭建好后,可以配置 Windows 时间服务使用下面 4 种方式进行时间同步:

    • 基于域层次结构的时间同步
    • 手动指定时间同步源
    • 所有可用的时间同步机制
    • 不进行同步

    下面将对这四种方式详细说明:


    1.基于域层级结构的时间同步




    基于域层次结构的时间同步,使用 AD DS 域层次结构来发现可靠的时间源来进行时间同步。在Windows AD域中,在没有另外配置其他可靠的时间源时,林根域的PDC仿真 操作主机默认充当林内最权威的时间源。上图刻画了域层次结构中,各种角色机器的时间同步路径。


    可靠时间源的配置:

    被配置为可靠时间源的主机会被认为是域内时间服务的权威,通常这种充当可靠时间源的机器自身会被配置为与外部的某个 NTP 服务器或者硬件设备进行时间同步。可以将域内的时间服务器配置为可靠时间源来优化域内时间同步的传输。如果一个域控制器被配置为一个可靠时间源,那么当这台与控制器登入网络的时候,Net Logon 服务就会宣布这台域控制器是可靠的时间源。当其他域控制器选择时间源进行同步时,他们会首先选择可靠时间源,如果有可靠时间源可用的话。


    时间源的选择:

    一台主机通过下列方式之一来选择同步时间源

    1. 如果该主机没有加入域,那么必须手动配置他要同步的时间源

    2. 如果该主机是域内的成员服务器或工作站,默认情况下他会依照域层次结构,来与他本域内运行了时间服务的域控制器进行时间同步

    3. 如果该主机是一台域控制器,它会发送多达 6 种查询请求来定位另一台合适的域控制器,并与之同步。各个请求被设计成用来发现有某种特定属性的时间源,如某种类型的域控制器,某个特殊的位置,是否是可靠的时间源等。并且时间源自身遵循如下限定:

    • 可靠时间源只能够和其父域的域控制器进行时间同步
    • PDC 仿真操作主机primary domain controller (PDC) emulator operations master role)只能和其所在域内的可靠时间源或其父域的任意一个域控制器进行时间同步。

    域控制器知道他自己可以与哪种类型的域控制器进行时间同步。因此,如果一个域控制器不能与它将要发送的查询请求所对应类型的域控制器进行时间同步,那么它就不会发送这类查询请求。例如,本域的 PDC 仿真操作主机不能与他自己进行时间同步,所以它不会发送类型为 3 和 6 的查询请求。


    域控制器时间源查询:

    查询类型查询的目标域控制器类型位置时间源可靠性
    1父域的域控制器同一站点优先使用查询结果中的可靠时间源,也可以和不可靠的时间源同步,如果查询结果中不存在可靠的时间源
    2本域的域控制器同一站点只和查询结果中可靠的时间源进行同步
    3本域的PDC 仿真操作主机同一站点不适用,域控制器不会尝试和其自身进行同步
    4父域的域控制器不同站点优先使用查询结果中的可靠时间源,也可以和不可靠的时间源同步,如果查询结果中不存在可靠的时间源
    5本域的域控制器不同站点只和查询结果中可靠的时间源进行同步
    6本域的PDC 仿真操作主机不同站点不适用,域控制器不会尝试和其自身进行同步


    每个请求都会返回一串可用的域控制器列表,Windows 时间服务会根据可靠性和位置等特性为结果中的每个域控制器打分,来决定最终选择哪个域控制器作为时间源。


    评分规则表:

    域控制器状态分数
    域控制器在同一站点8
    域控制器被标记为可靠时间源4
    域控制器在父域2
    域控制器是 PDC仿真操作主机1


    如果 Windows 时间服务认为自己已经找到的分数最高的域控制器,它就不会再发送更多的查询请求。评分表里各项的分数是叠加的,这意味着同一站点内的 PDC仿真操作主机的得分是 9

    如果林根域的 PDC仿真操作主机没有配置与外部的时间源同步,那么该主机上的硬件时钟将会作为时间标准。


    2.手动指定同步时间源


    这种方式允许用户指定一个或者一组机器作为本机时间同步的时间源。如果一台主机未加入域,那么必须手动指定他与某个指定的时间源同步。如果该主机已经加入某个域,默认情况下会依照域层次结构进行时间同步。手动指定时间源的方式对林根域的PDC仿真操作主机和未加入域的主机最为有用。手动指定一个外部的 NTP 服务器作为域内权威时间服务器的时间源能够为域提供可靠的时间。然而,实际上把域内权威时间服务器设置为与硬件时钟同步更能够为域提供精确和安全的时间。


    如果只将林根域的PDC配置为与外部的时间源进行同步,域内所有其他的主机依赖域层次结构进行时间同步,会使Kerberos 认证的重放攻击变得困难,提高域的安全性。



    3.所有可用的同步机制


    该选项是对网络用户来说最有价值的同步方式。这种选择允许使用域层次结构进行时间同步,同时在域层次结构同步方式不可用时,还可以根据配置使用其他时间源进行同步。如果客户端无法通过域层次结构进行同步,时间源将自动改变成 NtpServer 注册表项中所指定的时间源。这种同步方式最可能为客户端提供精确的时间。


    4.不进行时间同步


    在某些情况下用户可能希望关掉时间同步。例如,关闭时间同步来减少拨号上网费用;关闭时间同步来防止产生相关的错误日志。

    在一个同步网络中,关掉被设计成时间同步网络的根时间服务器上的时间同步是很有用的。这表明,这台根主机信任他自己的时间。如果时间同步层次结构中的根主机没有被设置成不进行时间同步的话,如果此时它自身不能和另一个时间源进行同步,那么其他客户端就不会信任这台机器发出的时间同步包,因为它的时间已经不可信了。


    5.相关注册表项


    The reg entries are located in the following registry key and options for the “Type:”

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

    Type : REG_SZ

    Used to control how a computer synchronizes.

    Nt5DS = synchronize to domain hierarchy [default]
    NTP = synchronize to manually configured source
    NoSync = do not synchronize time


    http://blogs.msmvps.com/acefekay/2009/09/18/configuring-the-windows-time-service-for-windows-server/

    https://technet.microsoft.com/en-us/library/cc773263(v=WS.10).aspx

    https://technet.microsoft.com/zh-cn/library/cc773013(v=ws.10).aspx

    https://support.microsoft.com/zh-cn/kb/816042


    展开全文
  • windows 介绍

    千次阅读 多人点赞 2018-07-27 16:51:51
      在今天很多人都有意识或无意识的跟这个东西打过交道。如果你在公司里使用电脑,...如何查看你的电脑是否连接到一个中,以Windows为例,右击我的电脑 –>属性,可以看到,我现在使用的这台电脑就加入...

    转自:https://blog.csdn.net/binyao02123202/article/details/8061771

     

    在今天很多人都有意识或无意识的跟域这个东西打过交道。如果你在公司里使用电脑,并且你的电脑接入了公司的局域网,那你的电脑很可能就在一个域中。如何查看你的电脑是否连接到一个域中,以Windows为例,右击我的电脑 –>属性,可以看到,我现在使用的这台电脑就加入了一个域。

    image

     

    域已经成为绝大多数公司组织、连接电脑的一种方式。那么我们究竟为什么要使用域?它能给我们带来什么好处呢?假设你是公司的系统管理员,你们公司有一千台电脑。如果你要为每台电脑设置登录帐户,设置权限(比如是否允许登录帐户安装软件),那你要分别坐在这一千台电脑前工作。如果你要做一些改变,你也要分别在这一千台电脑上修改。相信没有哪个管理员想要用这种不吃不喝不睡觉的方式来工作,所以就应运而生了域的概念。

     

    还以Windows为例,在微软的世界中,一个域是由一个或多个域控制器(domain controller)来控制的(其实域控制器并不神秘,无非就是装了一些特别软件的电脑)。其他的电脑加入该域,就要接受域控制器的控制。域控制器中有两个重要的表,一个是加入该域的电脑的列表,另一个表用来保存叫做活动目录(Active Directory)的东西。活动目录就是你登录公司网络的帐户。活动目录中存储着你的权限。你在某台电脑上登录,你键入用户名和密码,你的电脑首先要把你的登录信息发送到域控制器,域控制器首先核实你的登录信息是否正确,然后把一个叫access key的东西返还给你登录的电脑。这个access key中就包含着你的权限,由它来决定你是否可以安装软件,或者使用打印机等等。

    image

    有了域以后,作为管理员,你就可以坐在一台电脑前,登录到域控制器上,对一切权限进行控制,而不用跑到每台电脑前进行设置了。工作效率提高了很多,但是还不够。假设公司有一千名员工,你是否要在域控制器中对这一千个人分别进行权限的设置呢?这听起来也是一件很麻烦的事。其实很多员工的权限都是相同的,那我们可不可以对这些相同的权限只设置一次,然后将该权限分配给相关的员工呢?答案就是使用分组(Group)。比如在学校里,我们设置学生组和教师组。在某台电脑上我们设置一个共享文件夹,学生组的权限是不可访问,而教师组可以对该文件夹进行访问。我们将不同的用户放入不同的分组里,然后对组进行权限设置,这样就免去了我们要对每个用户进行设置的麻烦。比组更大的单位是组织单位(Organization Unit),一个组织单位可以包含用户,组,资源(电脑,打印机等),还可以包含其他组织单位。举个简单的例子,有一个商场中的电脑加入了该商场的域,但是该电脑放置在公共场合,有很大的风险,所以我们可以将该电脑放置在一个单独的组织单位中,然后对该组织单位进行权限设置,比如不论谁在该组织单位中登录,都不可以修改他的密码。

    image

    在很多的实际情况中,一个公司又有下面的子公司,所以就造成母公司有一个域,而子公司也有一个单独的域。母公司的域与子公司的域如何联系起来呢?我们可以在它们之间建立一种叫信任(Trust)的关系。如果母公司的帐户想要能够登录到子公司的域中,子公司的域就要对母公司的域建立信任关系。当母公司域的帐户想要登录到子公司域中时,子公司域由于信任母公司的域,所以它会听从从母公司域的域控制器返回的access key。反过来,由于母公司的域没有建立对子公司的信任,所以如果子公司的帐户想要登录到母公司的域中是不可能的。

    image

    虽然我们上面的例子都是Windows的域,但域这个概念绝不是微软独创的。你也可以在Linux中使用一个叫Samba的软件来创建域。如果你要用Windows搭建一个域环境的话,要注意两点:

    (1) 加入域不能使用Home版的Windows操作系统(顾名思义它是给你在家用的,而你家里是不用搭建域的)。

    (2) 域控制器不能使用web edition server,因为它没有安装活动目录。

     

    在现实环境中,有很多公司在域中使用多个域控制器,因为如果只使用一个域控制器的话,一旦域控制器不能正常工作,整个域就会瘫痪。在Samba中,Linux使用两个域控制器,一个是主域控制器,一个是备份域控制器。一旦主域控制器发生故障,备份域控制器就开始工作,直到主域控制器恢复正常。备份域控制器就是一个主域控制器的拷贝,但是它的数据都是只读的,也就是说管理员不能在备份域控制器上修改权限。

    image

    在Windows的域中,不使用主域控制器与备份域控制器,每个域控制器充当的都是一样的角色,比如你有三个域控制器,你可以在任何一个域控制器上对用户的权限进行修改,你的修改将被复制到其他两个域控制器中。同样,如果一个域控制器发生故障,只要其他的域控制器还能正常工作,整个域还是可以正常运行。

    image

    最后再列举两条有用的命令:

    列举出域中所有的域控制器: NETDOM QUERY /D:MyDomain DC

    查看你是使用哪个域控制器登录的:echo %logonserver%

     

    附:1、netdom是系统支持工具,使用前需先行安装(光碟:/SUPPORT/TOOLS/SUPTOOLS.MSI)。 安装完成后,在开始---程序---Windows Support Tools---运行command prompt。而在cmd中运行netdom命令要进到C:\Program Files\Support Tools目录下

     

    net user                   ------> 本机用户列表
           net localhroup administrators  ------> 本机管理员[通常含有域用户]
           net user /domain     ------> 查询域用户
           net group /domain  ------> 查询域里面的工作组
           net group "domain admins" /domain  ------> 查询域管理员用户组
           net localgroup administrators /domain  ------> 登录本机的域管理员
           net localgroup administrators workgroup\user001 /add  ----->域用户添加到本机
           net group "Domain controllers"   -------> 查看域控制器(如果有多台)
           ipconfig /all            ------> 查询本机IP段,所在域等
           net view                  ------> 查询同一域内机器列表
           net view /domain   ------> 查询域列表
           net view /domain:domainname  -----> 查看workgroup域中计算机列表

     

    展开全文
  • windows域管理

    千次阅读 多人点赞 2020-03-30 21:32:01
    Domain 内网环境: 工作组:默认模式(此电脑右击属性)-----人人平等,不方便管理 :人人不平等,可以集中管理,统一管理 的组成: 控制器:DC (Domain Controller) 成员机:普通成员 的部署: 安装...

    域Domain
    内网环境:
    工作组:默认模式(此电脑右击属性)-----人人平等,不方便管理
    域:人人不平等,可以集中管理,统一管理
    域的组成:
    域控制器:DC (Domain Controller)
    成员机:普通成员
    域的部署:
    安装域控制器就生成了域环境
    安装的活动目录就生产了域控制器
    活动目录:Active Directory AD
    活动目录
    AD
    特定:集中管理/统一管理
    组策略GPO

        部署安装活动目录:
            开启2008虚拟机,并桥接到vmnet2
            配置静态IP地址10.1.1.1/24
            开始-运行-输入dcpromo,安装活动目录。
            弹出向导:
               勾选DNS-新林中新建域-功能级别都设置为 003-域的FQDN (test. com) ---设置目录服务还原密码666.com---勾选安装后重启
            登录TEST\administrator,DC的本地管理员升级成为域管理员
            验证AD是否安装成功
            	计算机右键属性--所属域
            	DNS服务器是否自动创建test.com区域文件
            	自动注册DC的域名解析记录
            	    computer:普通域成员机列表
            	    Domain Contorller:DC列表
            	    Users:域账号
            PC加入域:
            	1.配置IP,并指DNS
            	2.计算机右键属性--更改--加入test. com域
            	3.重启加入域后,成功使用域用户登录成员机
        	OU:组织单位
        		作用:用于归类域资源(域用户、域计算机、域组)
        	组策略:Group Policy=GPO
        		作用:通过组策略可以修改计算机的各种属性
    
    展开全文
  • 自从进入新公司后,就一直用帐户,虽然起先一直很排斥XP系统及帐户。但经过一段时间磨合及把用户加到本地管理员后。感觉帐户真是越用越好用了
  • WINDOWS_SERVER_2003从入门到精通之创建Windows域WINDOWS_SERVER_2003从入门到精通之创建Windows域
  • windows域说明 精品文档 精品文档 收集于网络如有侵权请联系管理员删除 收集于网络如有侵权请联系管理员删除 精品文档 收集于网络如有侵权请联系管理员删除 windows域说明 域的含义 域的原理 域的作用 域控安装 域的...
  • Windows AD功能介绍、Windows AD方案介绍 功能一、AD管理 https://www.manageengine.cn/products/ad-manager/ 1、AD管理 通过批量创建和编辑用户帐户,指派管理权限等,简化Windows AD的管理。 2、...
  • windows域的创建

    千次阅读 2020-10-04 06:32:19
    win+R 输入dcpromo 然后就是安装二进制文件 直接点击下一步 新建 输入 下一步 下一步 选择dns服务器,然后下一步
  • windows 2003 控制器升级成windows 2008控制器
  • 图解Windows域的命令行操作

    千次阅读 2016-09-08 19:15:03
    Windows域相关命令 域相关命令 向域中添加用户: net user username passwd /add /domain 禁止/激活用户: net user username passwd /active:no[|yes] /domain 删除用户: ... ...dsquery
  • WINDOWS2003管理

    2012-02-07 16:40:43
    WINDOWS2003管理
  • Ubuntu 13.04 登录windows域

    千次阅读 2013-09-02 10:54:12
    Ubuntu likewise 登录windows域
  • Windows server 2016 部署AD(Windows

    千次阅读 2019-02-08 15:06:48
    下面跟大家简单介绍一下如何在Windows server 2016服务器上部署Windows 环境,并把客户机加入中。 一台服务器要想安装成AD DC(活动目录服务),必须具备以下条件: 1.安装者必须具有本地管理员权限: 2.DNS...
  • Windows域横向渗透

    千次阅读 2016-09-20 12:21:49
    我们的目的是获取redhook.DA的一个可用的账户,当前攻击者已在公司网络内,但并未在同一个子网。 Compromising Client 1 假设我们已经获取到了Client1的登陆凭据,如果网络足够大,你可以发现存储在某处...
  • centos7加入Windows域

    千次阅读 2018-09-30 17:28:56
    这里采用命令加入 1.Linux配置DNS,没有配置的话无法识别域名 2.有些域控对加入的主机名有要求,所以需要修改主机名才能正常入,注意修改主机名会导致Linux上的服务异常,比如rabbitMQ。修改方式 vi /etc/...
  • 添加Ubuntu 16.04 主机至Windows域

    千次阅读 2019-01-15 11:38:54
    添加Ubuntu 16.04 主机至Windows域中 文章目录添加Ubuntu 16.04 主机至Windows域中0 下载使用工具1 加入Windows域2 修改 ubuntu 登录页面3 赋予域用户sudo权限 0 下载使用工具 将ubuntu 加入Windows域中可使用pbis...
  • python登录windows AD查看用户信息

    千次阅读 2019-01-05 15:31:42
    # -*- coding: UTF-8 -*- # # python ldap doc # http://www.python-ldap.org/en/latest/reference/ldap.html # import ldap, json def ldap_login(ldap_path, user, domain, passwd): ... c = ldap...
  • 模式 Windows 2000混合模式 控制器 (Windows 2000/ Server 2003) 控制器 (Windows NT 4.0) Windows Server 2003 模式 控制器全部都是 (Windows Server 2003 ) Windows 2000本机模式 控制器 (Windows 2000)...
  • windows 渗透

    千次阅读 2013-04-03 16:12:10
    假如你已经控制了网内的一台电脑A,你是否想以此为跳板进一步扩大战果,将自己的权限从local admin 提高到Domain admin,从而可以访问包括Domain Controller在内的内中任何一台电脑。通常有两种思路: 路线...
  • 将Linux加入到Windows域

    千次阅读 2016-04-05 14:30:47
    1.对windows域的理解  域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才...
  • 四、判断是否存在 了解本机信息后,就要判断当前内网中是都存在。 4.1 ipconfig 查看网关IP地址、DNS的ip地址、域名、本机是否和DNS服务器处于同一网段等信息。...4.3 查看当前登录用户 net conf.
  • Windows域/域树/域林的简单区别

    千次阅读 2017-11-26 16:40:00
    (1)是一种管理单元,也是一个管理边界,在同一个内共享某些功能和参数;一个可以有多台控制器.如上图中domain1.com/A.domain1.com/domain2.com分别代表三个独立的; (2)树是指基于在DNS命名空间,如果一个...
  • 1 哪些计算机能成为 Windows Server 2003 的成员 ? 下面的操作系统主机可以成为的成员 ? Windows NT ? Windows 2000 ? Windows XP ? Windows Server 2003 系统属性对话框中计算机名标签 把计算机加入到 为了...
  • 创建 Windows Server 2003 AD 创建 Windows Server 2003 AD
  • Windows域和工作组

    千次阅读 2012-06-08 10:47:08
     (Domain)是Windows网络中独立运行的单位,之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在之间的桥梁。当一个与其他建立了信任关系后,2个之间不但可以按需要相互进行管理,...
  • Windows域相关命令

    千次阅读 2012-09-10 14:03:34
    相关命令 向中添加用户: net user username passwd /add /domain 禁止/激活用户: net user username passwd /active:no[|yes] /domain 删除用户: net user username passwd /del /domain 查询内...
  • windows server管理

    2015-07-12 08:12:56
    我们想问windows 管理能不能帮我做到如下几点: 1) 补丁推送 2)给每个员工一个自己的账号,他能登录每一台机器。 想知道有没有风险比如 1) 对专线网络的影响 2) 服务器不可用的时候怎么办? 还想知道...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 247,010
精华内容 98,804
关键字:

windows域怎么查看