【基础概念】域的相关概念

域是一个安全边界，是工作组的升级版，在域内的计算机可以共享资源

域名是Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位（有时也指地理位置）。域名是由一串用点分隔的名字组成的，通常包含组织名，而且始终包括两到三个字母的后缀，以指明组织的类型或该域所在的国家或地区。例如：www.baidu.com

域名服务器 - DNS

DNS 用于将 域名解析为 IP地址，还负责DNS资源的记录

在域环境网络中，DNS起到的不仅仅是一个域名解析的作用，更主要的是DNS服务器起到一个 资源定位 的作用。在实际中往往通过 DNS服务器 去定位 域控制器、服务器 等其他计算机、网络服务器等。所以域的名字就是DNS域的名字。

在内网渗透中，大都是通过 DNS服务器 来定位 域控制器，因为DNS服务器通常和域控制器在同一台主机。

现在就可以把 定位域控的问题转化为 定位DNS服务器的问题

域内组的概念

1. 域本地组

常常用于多域用户访问单域资源（多个域访问另一个域）。域本地组不能加入其他组中，域本地组往往只负责授予其他域中组用户的访问权限，其它权限需要在全局组或通用组中派指。

2. 全局组

常常用于单域用户访问多域资源。全局组内只能添加本域的用户，全局组可以添加到其他域中的通用组或域本地组内，不能添加到其它域的全局组内，但是可以添加到本域内的其他全局组内。

3. 通用组

通用组的成员来自整个域森林中任何域的用户账号、全局组和其他通用组，可以在整个域森林的任何域中派指权限，可以嵌套在其他组中，非常适合在域森林内的跨域访问中使用。

通用组的成员不是保存在各自的域控制器中，而是保存在全局编录中，任何变化都会导致全林复制

域策略

A：用户账户（Account）

G：全局组（Global Group）

DL：域本地组（Domain Local Group）

U：通用组（Universal Group）

P：资源权限（Permission）

A-G-DL-P

问：现在有两个域，A域内的用户想要访问B域内的资源，应该怎么设置？

在A域内设置全局组并添加用户，在B域内设置域本地组，将A域内的全局组加入B域中的域本地组，就可以访问B域中的资源。此后A域管理员就可以管理域中的用户，B域管理员可以管理相应的权限

思路：

• 首先明确需求，A域访问B域的资源
• 因为域本地组负责本地权限的授予，所有要在B域设置域本地组
• 又因为全局组可以添加到域内其他全局组，或其他域的通用组或域本地组
• 所以，要将A域的全局组添加到B域的域本地组
• 所以A域中的账号就会被授予B域中域本地组对应的权限

A-G-G-DL-P

此策略的原则为：将不同的用户加入全局组，然后将不同的全局组加入另一个全局组，最后将整个全局组加入域本地组，授予对应的权限

A-G-U-DL-P

此策略的原则为：将不同的用户加入全局组(在本域)，然后将不同的全局组加入通用组(在本林)，最后将通用组加入域本地组，授予对应的权限

参考

Active Directory 域服务–域控架构详解1

组的使用原则