深入了解内网基础知识：网络拓扑、安全机制与实用技巧

内网概述：

a. 内网是局域网的一种形式，指在某一区域（或范围）内，由多台计算机互联成的计算机组。 一般范围通常在几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的协同安排、电子邮件和传真通信服务等功能。

b. 内网是封闭的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成，例如银行、学校、企业工厂、政府机关、网吧、单位办公网等。

在研究内网时，常听到工作组、域、域控制器、父域、子域、域树（或域林）、活动目录、DMZ、域内权限等名词，下面详细解释和区分这些概念。

工作组

在一个大型单位里，可能有成百上千台计算机相互连接组成一个局域网。为了解决混乱问题，产生了工作组的概念。工作组是将不同计算机按功能或部门划分，以提高网络的组织结构。

例如，技术部的计算机可以列入“技术部”工作组，行政部的计算机可以列入“行政部”工作组。访问特定部门的资源只需在网络中双击该部门的工作组名。

如何加入/创建工作组：

1. 右击电脑桌面上的“计算机”，选择属性，在计算机名和工作组设置中输入相应信息。
2. 如果输入的工作组名称网络中不存在，相当于新建了一个工作组。

退出工作组： 只需改动工作组名称。但在网上别人照样可以访问共享资源，工作组中的计算机是对等的，没有服务器和客户端之分。

提问：如果一个公司有200台电脑，希望某一台电脑上的账户 “bibo” 可以访问每一台电脑内的资源或在每一台电脑上进行登录，在工作组环境中，需要在这200台电脑的各个SAM数据库中创建 “bibo” 这个用户，而在域环境中则更适用于这种情况。

域

1. 域是一个有安全边界的计算机集合，具有更严格的安全管理控制。 用户要访问域内资源，必须有合法身份登录到该域，访问权限取决于用户在该域中的身份。
2. 域控制器（DC）是域中的一台管理服务器，类似单位的门禁系统。 负责审核连接到域的计算机和用户，包括身份验证和权限管理。域控制器保存域内所有电脑的账户、密码等信息，是整个域的通信枢纽。
3. 域的分类：
   • 单域：适用于小公司，建立一个域足够。
   • 父域和子域：父域是第一个域，子域是分部域，有助于管理、安全和资源分配。例如，一个大公司在不同地理位置设置子域。

域树

域树：是由若干个域通过建立信任关系组成的集合。一个域管理员只能管理本域的内部，不能访问或者管理其他的域。如果两个域之间需要互相访问，则需要建立信任关系。信任关系是连接在域与域之间的桥梁，使得域树内的父域和子域可以按需互相管理，并在跨网络分配文件、打印机等设备及资源，实现网络资源共享与管理以及相互通信和数据传输。

域树结构：在一个域树中，父域可以包含很多子域，子域是相对于父域来说的，指域名中的每一个段。子域之间用(.)号隔开，一个点代表一个层次。放在域名最后的子域称为最高级子域或一级域，而前面的子域称为二级域。例如，asia.abc.com的级别比abc.com低，而cn.asia.abc.com比asia.abc.com低。域的名字在一个域树中是连续的。

域森林：是由若干个域树通过建立信任关系组成的集合。在企业兼并场景中，域森林可以用于管理不同公司的域树。通过域树之间建立的信任关系，可以管理和使用整个森林中的资源，同时保持各个域的原有特性。

DNS–域名服务器

• DNS域名服务器：用于进行域名和与之对应的IP地址转换的服务器。在域树中，域的名字和DNS域的名字非常相似，实际上，域的名字就是DNS域的名字。通常，在内网渗透中，通过寻找DNS服务器来定位域控制器，因为通常DNS服务器和域控制器会位于同一台机器上。

活动目录(AD)

• 活动目录：是域环境中提供目录服务的组件。目录服务用于存储网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息，以帮助用户快速准确地查找所需的信息。活动目录实现了目录服务，为企业提供了网络环境的集中式管理机制。
• 活动目录的功能：
  • 账号集中管理，统一管理账号的重命名和密码重置。
  • 软件集中管理，通过活动目录可以统一推送和安装软件。
  • 环境集中管理，统一客户端桌面、IE、TCP/IP等设置。
  • 增强安全性，统一部署杀毒软件、制定用户密码策略等。
  • 提高可靠性，减少当机/死机时间，实现容灾设定等。
• AD（活动目录）和DC（域控制器）的区别：AD是存放活动目录数据库的基础平台，而DC是安装了AD并存放活动目录数据库的计算机。活动目录数据库存储有关网络对象的信息，而域控制器是用于管理该域的网络访问。

安全域划分

• 安全域划分：通过将一组安全等级相同的计算机划入同一个网段内，实现在网络边界使用防火墙进行隔离，从而减小风险，最小化攻击者对内网的影响。典型的划分包括内网、DMZ（隔离区）和外网。
• DMZ（隔离区）：用于解决防火墙后外部网络不能访问内部网络服务器的问题。DMZ是提供对外服务的区域，可以包含企业的Web服务器、FTP服务器等。在网络边界上部署防火墙及入侵检测系统，实现对外部访问的控制。

域中计算机分类

• 在域结构的网络中，计算机分为域控制器、成员服务器、客户机和独立服务器。
  • 域控制器：用于管理域内的网络访问，存储域内所有账户和策略信息，是域中必须要有的。
  • 成员服务器：安装了服务器操作系统并加入了域，用于提供网络资源。
  • 客户机：域中的计算机，通过域用户账号访问域内资源。
  • 独立服务器：不与任何域关联，不安装活动目录，用于创建工作组和共享资源，不能使用活动目录提供的服务。

内权限解读

• 域本地组：用于多域用户访问单域资源，权限在其所在域内指派。主要用于授予位于本域资源的访问权限。
• 全局组：用于单域用户访问多域资源，权限在创建该全局组的域上指派。可以嵌套于其他组中，适用于域林中的跨域访问。
• 通用组：成员来自域林中任何域中的用户账户和组，可以在域林中的任何域中指派权限，可以嵌套于其他域组中。适用于全局使用，但成员保存在全局编录中。

AGDLP 策略

AGDLP 策略是一种有效的域权限管理方法，它的核心思想是将用户账号添加到全局组，将全局组添加到域本地组，最终为域本地组分配资源权限。

• A (Account)：表示用户账号。
• G (Global group)：表示全局组。
• DL (Domain Local group)：表示域本地组。
• P (Permission)：表示资源权限。

按照 AGDLP 原则，对用户进行组织和管理更加方便。一旦 AGDLP 架构形成，为用户分配权限时只需将其添加到相应的域本地组即可。

在域控制器安装过程中，系统会自动生成一些内置组，其中 Builtin 和 Users 组织单元中的组是内置组。这些内置组提供了一些常用权限，通过将用户添加到这些组中，用户可以获得相应的权限。

内置组

内置组定义了一些常用的权限，它们位于 Active Directory 用户和计算机控制台窗口的 Builtin 和 Users 组织单元中。

• Builtin 组织单元中的组包括 Builtin\Administrators、Builtin\Remote Desktop Users、Builtin\Print Operators 等，这些组提供了不同的权限，如管理员权限、远程登录权限和打印机管理权限等。
• Users 组织单元中的组包括 Users\Domain Admins、Users\Enterprise Admins、Users\Schema Admins 等，这些组在域环境中具有重要的权限，如域管理员权限、企业系统管理员权限和架构管理员权限等。

域本地组的权限

域本地组中的一些重要权限包括：

1. Administrators (管理员组)：成员可以不受限制地访问计算机/域的资源，是域中最具权力的组。
2. Remote Desktop Users (远程登录组)：成员具有远程登录的权限，用于远程访问计算机。
3. Print Operators (打印机操作员组)：成员可以管理网络打印机，包括创建、管理和删除网络打印机。
4. Account Operators (帐号操作员组)：成员可以创建和管理该域中的用户和组，为其设置权限。
5. Server Operators (服务器操作员组)：成员可以管理域服务器，包括管理共享目录、网络打印机等。
6. Backup Operators (备份操作员组)：成员可以执行域控制器的备份和还原操作。

这些组的权限精确地定义了在域中各个层次的管理员可以执行的任务。

全局组和通用组权限

全局组和通用组中的一些重要组和权限包括：

1. Domain Admins (域管理员组)：成员在所有加入域的服务器、域控制器和活动目录中默认拥有完整的管理员权限。
2. Enterprise Admins (企业系统管理员组)：是域森林根域中的一个组，对所有域控制器都有完全访问权限。
3. Schema Admins (架构管理员组)：允许成员修改活动目录和域森林的模式，是域中最高级别的管理员组之一。
4. Domain Users (域用户组)：包含所有域成员，在默认情况下，用户和计算机账号都属于域用户组。

这些组和权限为管理员提供了在域环境中进行有效管理的工具，根据需要进行分配。

总结

采用 AGDLP 策略，并理解各种内置组、域本地组以及全局组和通用组的权限，可以更好地组织和管理域环境中的用户和计算机，提高网络安全性和管理效率。根据具体需求，分配适当的权限给各个组，确保权限控制的合理性和安全性。