Windows 域之 组、OU

在域内,我们无时无刻不在跟组打交道,比如我们熟悉的域管,就是一个组。按照用途来分,组分为通讯组和安全组。对于通讯组,我们接触的比较多的就是邮件组,将若干个人划分到一个通讯组,给这个通讯组发件,那组内用户都能收到。但是通讯组不能控制对资源的访问,我们并不是很在意。这篇文章侧重介绍安全组。
安全组是权限的集合。举个例子,运维需要对公司的网络进行管理,需要一些特殊的管理权限,我们就可以设置个组,对组配置权限。然后将运维拉近组里面,组里面的运维就拥有了该权限。安全组可以根据作用范围划分为。

  • 全局组
  • 通用组
  • 域本地组

域本地组,顾名思义,就是适用本身的组,可包含林内的账户,通用组,全局组,其他域内的通用组要在本域拥有权限,一般都是加入这个域的域本地组。比如说一个林里面,只有林根域有Enterprise Admins这个组,这是个通用组。然后其他子域 的域本地组Administrators会把林根域的Enterprise Admins加进里面,所以林根域的Enterprise Admins组用户才在整个林内具备管理员权限。如果想要一个只允许访问同一个域中的资源的组,那么使用域本地组即可。

通用组, 在林的场景下比较有用。组内成员会在GC内复制。如果你想要一个可以访问林中任何东西的组,并且可以在林中包含任何账户,请使用通用组。

全局组,可以全局使用。即:可在本域和信任关系的其它域中都可以使用,体现的是全局性。但是只能包含本域内的账户。


AGDLP

安全组是权限的集合,所以在微软的建议中,并不建议给赋予单个用户权限,而是赋予一个组权限,然后将成员拉近组。下面介绍下AGDLP策略。

  • A表示用户账号,Account
  • G表示全局组,Global group
  • U表示通用组,Universal Group
  • L表示本地组, local group
  • DL表示域本地组,Domain local group
  • P表示资源权限,Resource Permissions

有常见的几种权限划分方式

  • AGP,将用户账户添加到全局组,然后赋予全局组权限
  • AGLP,将用户账户添加到全局组,将全局组添加到本地组, 然后赋予本地组权限
  • ADLP 将用户账户添加到域本地组,然后赋予域本地组权限
  • AGDLP,将用户账户添加到全局组,将全局组添加到域本地组, 然后赋予域本地组权限
  • AGUDLP,将用户账户添加到全局组,将全局组添加到通用组,将通用组添加到域本地组, 然后赋予域本地组权限

组织单位(Organization Unit)

组织单位(Organization Unit),简称OU,是一个容器对象,将域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位包含下列类型的对象:用户,计算机,工作组,打印机,安全策略,其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。 在企业域环境里面,我们经常看到按照部分划分的一个个OU。

另外百度知道上面的一个答案我觉得也可能带来更深的了解和启发
https://zhidao.baidu.com/question/212415410.html

域中OU指的是组织单位(Organizational Unit),组织单元是可以将用户、组、计算机和其它组织单位放入其中的AD(Active Directory,活动目录)容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。性质是最小作用域或单元

OU跟容器的区别

组织单位(OU)是专用容器,与常规容器的区别在于管理员可以将组策略应用于OU,然后系统将其下推到OU中的所有计算机。您不能将组策略应用于容器。需要注意的是Domain Computers是一个普通容器,而Domain Controllers是一个OU,因此可以可以将组策略应该于Domain Controllers,不可以将组策略应用于Domain Computers。关于更多组策略的内容,我们后面会专门有一篇文章介绍组策略。

OU跟组的区别

组织单位跟组是两个完全不同的概念。很多人经常会把这两个弄混。组是权限的集合。OU是管理对象的集合。举个前面举过的例子,运维需要对公司的网络进行管理,需要一些特殊的管理权限,我们就可以设置个组,对组配置权限。然后将运维拉近组里面,组里面的运维就拥有了该权限。比如我们需要对财务部里面的用户进行统一管理,那我们可以设置个OU,然后把财务部的用户拉近这个OU,这样就可以进行集中管理,比如说下发组策略。说通俗点,组是管理的集合,OU是被管理的集合

OU委派

考虑这样一种需求,如果我们想允许某个用户把其他用户拉近OU,而不赋予这个用户域管权限,我们可以在这个OU给这个用户委派 添加成员的权限。组织单位的委派其实就是赋予某个域内用户对OU的某些管理权限。这些权限体现在ACL里面。

参考

https://daiker.gitbook.io/windows-protocol/ldap-pian/9
https://zhidao.baidu.com/question/212415410.html

你可能感兴趣的:(内网渗透,windows)