1、组:要介绍域的概念,先介绍一下组的相关概念。
组是用户的集合,由多个用户账户组成,组名可以看成是组成员共同的名字。引入组的概念就是为了简化管理。例如,如果要把某个资源授权给一批用户,或者对一批用户设置相同的权限,若没有组,则只能给单个用户账户进行设置授权,但是有了组之后就可以一次性的对组进行授权,实质上也就是给该组的所有用户同时进行了授权。
很重要的一点:一共用户可以同时属于多个组,用户对某个资源的权限等于它在各组的权限之和,但是如果一旦有个组对某个资源的权限为禁止,那么该用户将不得访问该资源,因为禁止是优先的。在一个组中也可以包含其他组或者其他组的成员。
组的特点:计算机的地位都是平等的。每一台计算机都独立的维护自己的资源,不需要集中管理网络资源,每一台计算机都在本地存储用户的账号,本地账号只能登陆本地计算机。
2、域(Domain):域就是将多台计算机在逻辑上组织到一起,进行集中管理,也就是创建在域控制器上的组,将组的账户信息保存在活动目录中。域组可以用来控制域内任何一台计算机资源的访问和执行系统任务的权限。
域是组织和存储资源的核心管理单元,域的核心是域控制器,域控制器的核心是活动目录,活动目录实质上相当于一个数据库。
3、活动目录:活动目录是Windows Server平台下提供的目录服务,在中央数据库存放信息,使用户在网络上只拥有一个用户账号。活动目录可以管理诸如计算机对象、用户账号、打印机之类的网络资源。活动目录主要包括目录和目录相关的服务两方面,目录是存储各种对象的一个物理上的容器;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多个不同的计算机上,保证用户能够快速访问。
本次实验需要在虚拟机下进行,需要虚拟机软件(例如VMware),windows 2008 Server(作为域控制器),windows xp ,windows 7.
其实并非除了这几个虚拟机就无法完成实验,其实主要是需要一个服务器、两个主机,仅此而已。但是我使用的上述环境,因此下面的实验也是以此来进行演示。
1、准备好windows2008 Server,windows xp ,windows 7并将三个都登陆。
2、安装域控制器(注意:域控制器的IP必须是静态的)
(1):设置Windows Server 2008的IP地址:点击开始—>右击网络—>属性—>本地连接—>属性—>去掉IPv6前的对勾—>点击IPv4—>属性—>使用下面的IP地址—>将IP地址设为192.168.100.1(注意:这块IP地址可以根据个人来设置,但是前后要保持一致)—>子网掩码自动获取为255.255.255.0—>不设置网关—>使用下面的DNS服务器地址—>设置首选DNS服务器IP地址为192.168.100.1—>不设置备用DNS服务器,设置完成点击确定。
(2):安装域(在Windows Server 2008下进行)
第一种方法:点击开始旁边的按钮—>点击添加角色—>下一步—>勾选Active Directory域服务和DNS服务器—>安装—>一直点击下一步就?了。
第二种方法:点击开始—>在命令行输入dcpromo—>确定—>下一步—>在新林中创建域—>输入topsecedu.com—>下一步—>林功能级别(选择默认)—>域功能级别(选择默认)—>安装DNS服务器(这个是强制的,也是必须要安装的,否则无法解析IP地址)—>选择是—>文件夹不修改(默认)—>密码设置(这不是登陆密码))—>下一步—>完成—>重启(必须重启设置才能有效)。
这样就将域安装好了!
3、设置windows xp的IP地址(将该IP设为192.168.100.2)和DNS服务器(DNS服务器设为192.168.100.1,与域控制器(windows2008 Server)的IP地址和DNS服务器IP地址相同)
右键点击计算机—>网上邻居—>本地连接—>属性—>Internet协议—>属性—>使用下面的IP地址—>将IP地址设为192.168.100.2—>子网掩码自动获取为255.255.255.0—>不设置网关—>使用下面的DNS服务器地址—>设置首选DNS服务器IP地址为192.168.100.1—>不设置备用DNS服务器,设置完成点击确定。如图
4、设置windows 7的IP地址(将该IP设为192.168.100.3)和DNS服务器(DNS服务器设为192.168.100.1,与域控制器(windows2008 Server)的IP地址和DNS服务器IP地址相同)
右键点击计算机—>网络—>本地连接—>属性—>Internet协议—>属性—>使用下面的IP地址—>将IP地址设为192.168.100.2—>子网掩码自动获取为255.255.255.0—>不设置网关—>使用下面的DNS服务器地址—>设置首选DNS服务器IP地址为192.168.100.1—>不设置备用DNS服务器,设置完成点击确定。如图
5、更改windows xp的域
右键点击计算机—>属性—>计算机名—>更改—>点击域(填写域名topsecedu.com)(记住计算机名,在后面有用)如图
5、更改windows 7的域
右键点击计算机—>属性—>更改设置—>计算机名—>设置—>点击域(填写域名topsecedu.com)(同时记住计算机名,在后面有用)如图
这样,就将windows xp和windows 7都放在了topsecedu.com这个域下。
6、但是这只进行了一大半,还要更要的配置——域常用设置
点击开始旁边的服务器管理—>角色—>Active Directory域服务—>Active Directory用户和计算机—>topsecedu.com—>右键topsecedu.com—>新建组织单元topsec—>右键topsecedu—>新建组织单元——一班、二班、三班。如图
在一班下创建用户wangyi(左键一班—>新建—>用户),然后点击下一步,然后输入密码,在下面选择用户不能更改密码,如图
同样在二班建立用户wanger、在三班建立用户wangsan。
至此,就将域设置完成了。现在来进行验证,域下的每个用户都可以访问域。
7、验证
(1):用wangyi来登陆windows xp,登陆成功。如下图(注意下面的“登陆到”选择TOPSECEDU)
同样,用wanger、wangsan登陆同样成功。
(2):用wangsan来登陆windows 7,登陆成功。如下图(注意选择其他用户进行登陆)
同样,用wanger、wanger登陆同样成功。
8、别急,这会还没完,还记得之前特别留意了主机名,这是因为后面要设置账号只能登陆到固定主机,例如,设置wangsan只能登陆windows xp的主机,那么他就无法登陆windows 7的主机。如图
上述的9c8f8f5e2e0b4f3是我windows xp的主机,我将wangsan设置为只能登陆到windows xp,那么在windows 7的主机上就无法登陆,果不其然,在windows xp上可以登陆上去,但在windows 7上无法登陆。如图
由于我的设置,已经阻止了wangsan在windows 7上登陆。
在大型公司对域使用的尤为普遍,因此对与域中用户的账户权限的分配极为重要,而在局域网渗透中,通过任意用户来访问域是一种非常常用的手段,因此对域中的了解也是非常重要的。