一文了解内网基础
前言
1、记录这篇文章主要是为了让一些想了解内网的,进行一些基础知识点的认识
2、内网也指局域网(Local Area Network,LAN),是指在某一区域内由多台计算机互连而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等,内网是封闭的,可以由办公室内的两台计算机组成,也可以由一个公司内的大量计算机组成
3、学习内网的基础知识,可以从以下的一些节点进行学习
文章目录
-
- 一、工作组
- 二、域
- 三、活动目录
- 四、域控制器和活动目录的区别
- 五、安全域的划分
- 六、域中计算机的分类
- 七、域内权限解读
一、工作组
工作组(WorkGroup)这个概念,就是将不同的计算机按功能(或部门)分别列入不同的工作组,就例如技术部的计算机都列人"技术部"工作组、行政部的计算机都列入"行政部"工作组,要想访问某个部门的资源,只要在"网络"里双击该部门的工作组名,就可以看到该部门的所有计算机了
如在一个大型的单位里,可能有成百上千台计算机互相连接组成局域网,相比不分组的情况,分组后的情况有序得多
处在同一交换机下的"技术部"工作组和"行政部"工作组,如图
加入或者创建工作组的方法很简单,在系统属性里面,选择更改选项,在自己的计算机名下,可以选择工作组
如果输入的工作组名称在网络中不存在,就相当于新建了一个工作组(暂时也只有这台计算机在该工作组内),选择确定后,Windows会提示需要重新启动,在重新启动之后进人"网络",就可以看到所加入的工作组的成员了。当然,也可以退出工作组(只要修改工作组的名称即可)
这时在网络中,别人可以访问我们的共享资源,我们也可以加入同一网络中的任何工作组。工作组就像一个可以自由进人和退出的社团,方便同组的计算机互相访问,工作组没有集中管理作用,工作组里的所有计算机都是对等的
二、域
假没有这样的应用场景:一个公司有200台计算机,我们希望某台计算机的账户 Alan 可以访问每台计算机的资源或者在每台计算机上登录。那么,在工作组环境中,我们必须在这200台计算机各自的SAM 数据库中创建 Alan 这个账户,一旦Alan想要更换密码,必须进行200次更改密码的操作
域(Domain)是一个有安全边界的计算机集合(安全边界的意思是,在两个域中,一个域中的用户无法访问另一个域中的资源),可以简单地把域理解成升级版的工作组。用户要想访问域内的资源,必须以合法的身份登录域,而用户对域内的资源拥有什么样的权限,还取决于用户在域内的身份
域控制器(Domain ControllerDC)是域中的一台类似管理服务器的计算机,域控制器负责所有连入的计算机和用户的验证工作。域内的计算机如果想要互相访问,都要经过域控制器的审核
城控制器是整个域的通信枢纽,所有的权限身份验证都在域控制器上进行,也就是说,域内所有用来验证身份的账号和密码散列值都保存在域控制器中
域中一般有如下几个环境
1、单域
通常,对于一些需求小的公司,建立一个域就可以满足需求,在一个域内,一般要有至少两台域服务器,一台作为DC,另一台作为备份DC,活动目录的数据库(包括用户的账号信息)是存储在DC中的
2、父域和子域
出于管理及其他需求,需要在网络中划分多个域,第一个域称为父域,各分部的域称为该域的子域。例如,一个大公司的各个分公司位于不同的地点,就需要使用父域及子域,这样处理有一个好处,就是分公司可以通过自己的域来管理自己的资源,还有一种情况是出于安全策略的考虑。例如,一个公司的财务部希望使用特定的安全策略(包括账号密码策略等),那么可以将财务部作为一个子域来单独管理
3、域树
域树(Tree)是多个域通过建立信任关系组成的集合。一个域管理员只能管理本域,不能访问或者管理其他域。如果两个域之间需要互相访问,则需要建立信任关系(Trust Relation)。信任关系是连接不同域的桥梁,域树内的父域与子域,不但可以按照需要互相管理,还可以跨网络分配文件和打印机等设备及资源,从而在不同的域之间实现网络资源的共享与管理、通信及数据传输
在一个域树中,父域可以包含多个子域。各子城之间用点号隔开,一个"."代表一个层次,放在域名最后的子域称为最高级子域或一级城,它前面的子域称为二级域,例如,域asia.abc.com的级别比域abe.com低,子域只能使用父域的名字作为其域名的后缀,也就是说,在一个域树中,域的名字是连续的
4、域森林
域森林(Forest)是指多个域树通过建立信任关系组成的集合。例如,在一个公司兼并场景中,某公司使用域树 abc.com,被兼并的公司本来有自己的域树abc.net,域树 abc.net无法挂在域树 abc.com下,所以,域树 abc.com 与域树 abc.net 之间需要通过建立信任关系来构成域森林,通过域树之间的信任关系,可以管理和使用整个域森林中的资源,并保留被兼并公司自身原有的特性
5、域名服务器
域名服务器(Domain Name Server,DNS)是指用于实现域名(Domain Name)和与之相对应的IP地址(IPAddress)转换的服务器,从对域树的介绍中可以看出,域树中的域名和 DNS 域名非常相似,而实际上,因为域中的计算机是使用DNS来定位域控制器、服务器及其他计算机、网络服务的,所以域的名字就是DNS 域的名字,DNS服务器和域控制器通常配置在同一台机器上
三、活动目录
活动目录(Active Directory,AD)是指域环境中提供目录服务的组件
目录用于存储有关网络对象(例如用户、组、计算机、共享资源、打印机和联系人等)的信息,目录服务是指帮助用户快速、准确地从目录中找到其所需要的信息的服务
域树内的所有域共享一个活动目录,这个活动目录内的数据分散存储在各个域中,且每个域只存储该域内的数据,活动目录就相当于字典的索引
活动目录主要提供以下功能
- 账号集中管理:所有账号均存储在服务器中,以便执行命令和重置密码等
- 软件集中管理:统一推送软件、安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择需要安装的软件
- 环境集中管理:统一客户端桌面、IE、TCP/IP协议等设置
- 增强安全性:统一部署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一制定用户密码策略等。可以监控网络,对资料进行统一管理
- 更可靠,更短的宕机时间:例如,利用活动目录控制用户访问权限。利用群集、负载均衡等技术对文件服务器进行容灾设置,网络更可靠,宕机时间更短
活动目录是微软提供的统一管理基础平台,ISA、Exchange、SMS等都依赖这个平台
四、域控制器和活动目录的区别
1、如果网络规模较大,就要把网络中的众多对象,例如计算机、用户、用户组、打印机、共享文件等,分门别类、井然有序地放在一个大仓库中,并将检索信息整理好,以便查找、管理和使用这些对象(资源)。这个拥有层次结构的数据库,就是活动目录数据库,简称AD库
2、那么,我们应该把这个数据库放在哪台计算机上呢?要实现域环境,其实就是要安装 AD,如果内网中的一台计算机上安装了 AD,它就变成了DC(用于存储活动目录数据库的计算机)。
3、回顾前面的一个应用场景,在域环境中,只需要在活动目录中创建 Alan账户一次,就可以在200台计算机中的任意一台上使用该账户登录;如果要更改Alan账户的密码,只需要在活动目录中更改一次就可以了
五、安全域的划分
1、划分安全域的目的是将一组安全等级相同的计算机划入同一个网段,这个网段内的计算机拥有相同的网络边界,并在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略(NACL),从而允许哪些IP 地址访问此域、允许此域访问哪些IP地址和网段进行设置,这些措施,将使得网络风险最小化
2、一个典型的中小型内网的安全域划分,如图,一个虚线框表示一个安全域(也是网络的边界,一般分为 DMZ和内网),通过硬件防火墙的不同端口实现隔离
有一个用路由器连接的内网中,可以将网络划分为三个区域:安全级别最高的内网,安金级别中等的DMZ,安全级别最低的外网,这三个区域负责完成不同的任务,因此需要设置不同的访问策略
3、DMZ 称为隔离区,是为了解决安装防火墙后外部网络不能访同内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区, DMZ是对外提供服务的区域,因此可以从外部访问,同时网络边界上一般会部署防火墙及人侵检测、人侵防御产品等
4、在配置一个拥有DMZ 的网络时,通常需要定义如下访问控制策略,以实现其屏障功能
- 内网可以访问外网:内网用户需要自由地访问外网,在这一策略中,防火墙需要执行 NAT
- 内网可以访回 DMZ:此策略使内网用户可以使用或者管理DMZ 中的服务器
- 外网不能访同内网:这是防火墙的基本策略,内网中存储的是公司内部数据,显然,这些数据一般是不允许外网用户访问的(如果要访问,就要通过VPN的方式来进行)
- 外网可以访问 DMZ:因为DMZ中的服务器需要为外界提供服务,所以外网必须可以访问DMZ,同时,需要由防火墙来完成从对外地址到服务器实际地址的转换
- DMZ 不能访问内网:如果不执行此策略,当攻击者攻陷DMZ 时,内网将无法受到保护
- DMZ 不能访问外网:此策略也有例外,例如,在DMZ 中放置了邮件服务器,就要允许访问外网,否则邮件服务器无法正常工作
5、内网又可以分为办公区和核心区
- 办公区:公司员工日常的工作区,一般会安装防病毒软件、主机人侵检测产品等。办公区一般能够访问DMZ
- 核心区:存储企业最重要的数据,文档等信息资产,通过日志记录、安全审计等安全措施进行严密的保护,往往只有很少的主机能够访问,从外部是绝难直接访问核心区的
六、域中计算机的分类
在域结构的网络中,计算机的身份是不平等的,有域控制器、成员服务器、客户机、独立服务器四种类型
1、域控制器
域控制器用于管理所有的网络访问,包括登录服务器、访问共享目录和资源,域控制器中存储了域内所有的账户和策略信息,包括安全策略、用户身份验证信息和账户信息
在网络中,可以有多台计算机被配置为域控制器,以分担用户的登录、访问等操作。多个域控制器可以一起工作,自动备份用户账户和活动目录数据
2、成员服务器
成员服务器是指安装了服务器操作系统并加入了域、但没有安装活动目录的计算机,其主要任务是提供网络资源,成员服务器的类型通常有文件服务器、应用服务器、数据库服务器、Web服务器、邮件服务器、防火墙、远程访问服务器、打印服务器等
3、客户机
域中的计算机可以是安装了其他操作系统的计算机,用户利用这些计算机和域中的账户就可以登录域,这些计算机被称为域中的客户机,域用户账号通过域的安全验证后,即可访问网络中的各种资源
4、独立服务器
独立服务器和域没有关系,如果服务器既不加入域,也不安装活动目录,就称其为独立服务器,独立服务器可以创建工作组、与网络中的其他计算机共享资源,但不能使用活动目录提供的任何服务
域控制器用于存放活动目录数据库,是域中必须要有的,而其他三种计算机则不是必须要有的,也就是说,最简单的域可以只包含一台计算机,这台计算机就是该域的域控制器
七、域内权限解读
组(Group)是用户账号的集合,通过向一组用户分配权限,就可以不必向每个用户分别分配权限,例如,管理员在日常工作中,不必为单个用户账号设置独特的访问权限,只需要将用户账号放到相应的安全组中;管理员通过配置安全组访问权限,就可以为所有加入安全组的用户账号配置同样的权限
1、域本地组
多域用户访问单域资源(访问同一个域)可以从任何域添加用户账号、通用组和全局组,但只能在其所在域内指派权限,域本地组不能嵌套在其他组中,域本地组主要用于授予本域内资源的访问权限
2、全局组
单域用户访问多域资源(必须是同一个域中的用户),只能在创建该全局组的域中添加用户和全局组,可以在域森林的任何域内指派权限,全局组可以嵌套在其他组中
可以将某个全局组添加到同一个域的另一个全局组中,或者添加到其他域的通用组和域本地组中(不能添加到不同域的全局组中,全局组只能在创建它的域中添加用户和组),虽然可以通过全局组授予用户访问任何域内资源的权限,但一般不直接用它来进行权限管理
全局组和域本地组的关系,与域用户账号和本地账号的关系相似,域用户账号可以在全局使用,即在本域和其他关系的其他域中都可以使用,而本地账号只能在本机中使用
3、通用组
通用组的成员来自域森林中任何域的用户账号,全局组和其他通用组,可以在该域森林的任何域中指派权限,可以嵌套在其他组中,非常适合在域森林内的跨域访问中使用。不过,通用组的成员不是保存在各自的域控制器中的,而是保存在全局编录(GC)中的,任何变化都会导致全林复制
全局编录通常用于存储一些不经常发生变化的信息,由于用户账号信息是经常变化的,建议不要直接将用户账号添加到通用组中,而要先将用户账号添加到全局组中,再把这些相对稳定的全局组添加到通用组中
可以这样简单地记忆:域本地组来自全林,作用于本域;全局组来自本域,作用于全林;通用组来自全林,作用于全林
4、A-G-DL-P 策略
A-G-DL-P 策略是指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限
- A表示用户账号(Account)
- G表示全局组(Global Group)
- U表示通用组(Universal Group)
- DL表示域本地组(Domain Local Group)
- P表示资源权限(Permission,许可)
按照A-G-DL-P策略对用户进行组织和管理是非常容易的,在 A-G-DL-P 策略形成以后,当需要给一个用户添加某个权限时,只要把这个用户添加到某个本地域组中就可以了
在安装域控制器时,系统会自动生成一些组,称为内置置组。内置组定义了一些常用的权限通过将用户添加到内置组中,可以使用户获得相应的权限