2.Windows 域
3.活动目录
活动目录用户和计算机
要在 Active Directory 中配置用户、组或计算机,我们需要登录到域控制器,然后从开始菜单运行“Active Directory 用户和计算机”:
您可能已经注意到,除了THM OU之外,还有其他默认容器。这些容器由 Windows 自动创建,包含以下内容:
- 内置:包含任何 Windows 主机可用的默认组。
- 计算机:任何加入网络的计算机默认都会放置在此处。如有需要,您可以将其移动。
- 域控制器:包含网络中域控制器的默认OU 。
- 用户:适用于域范围的默认用户和组。
- 托管服务帐户:保存 Windows 域中服务使用的帐户。
安全组与组织单元
您可能想知道为什么我们既有用户组又有组织单元 (OU)。虽然两者都用于对用户和计算机进行分类,但它们的用途却截然不同:
- 组织单元 (OU)便于将 策略应用于用户和计算机,这些策略包含针对不同用户群体的特定配置,具体取决于用户在企业中的特定角色。请记住,一个用户一次只能属于一个OU,因为尝试对同一个用户应用两套不同的策略是没有意义的。
- 另一方面,安全组用于授予对资源的权限。例如,如果您想允许某些用户访问共享文件夹或网络打印机,则需要使用安全组。一个用户可以属于多个安全组,这是为了授予其对多个资源的访问权限。
4.在 AD 中管理用户
5.在 AD 中管理计算机
默认情况下,所有加入域的计算机(域控制器除外)都会被放入名为“计算机”的容器中。如果我们检查我们的域控制器,会发现其中一些设备已经存在于该容器中:
我们可以看到网络中一些服务器、笔记本电脑和台式机,它们分别对应着我们的用户。把所有设备都放在这里并不是最佳方案,因为您很可能希望对服务器和普通用户日常使用的机器采用不同的策略。
虽然整理机器没有固定的规则,但一个很好的起点是根据用途对设备进行分类。一般来说,设备至少可以分为以下三类:
1. 工作站
工作站是 Active Directory 域中最常见的设备之一。域中的每个用户都可能需要登录工作站。他们将使用工作站来完成工作或进行日常浏览活动。这些设备绝不应该允许具有特权的用户登录。
2. 服务器
服务器是Active Directory域中第二常见的设备。服务器通常用于向用户或其他服务器提供服务。
3. 域控制器
域控制器是Active Directory域中第三大常见设备。域控制器用于管理Active Directory域。由于这些设备存储着环境中所有用户帐户的哈希密码,因此通常被认为是网络中最敏感的设备。
由于我们要整理AD,所以让我们为域控制器Workstations和域控制器创建两个独立的 OU Servers(域控制器已经位于 Windows 创建的 OU 中)。我们将直接在thm.local域容器下创建它们。最终,您应该得到以下OU结构:
现在,将个人电脑和笔记本电脑从“计算机”容器移动到“工作站”组织单元(OU) ,将服务器从“服务器”组织单元(OU)移动到“服务器”组织单元 (OU)。这样做可以让我们稍后为每个组织单元配置策略。
6.组策略
7.身份验证方法
NetNTLM 身份验证
8.树木、森林和信托
