本文介绍了内网基础知识,包括工作组、域(单域、父域和子域、域树、域森林)、活动目录等概念,阐述了域控制器和活动目录的区别,还说明了安全域的划分,分为内网、DMZ和外网,最后提及域中计算机分类和域内权限解读。
1.1 内网基础知识
1.1.1 工作组
将不同的计算机按功能或者部门进行分类,同一网络中的工作组可以随意加入退出,可以互相访问,没有集中管理的作用,所有计算机权限对等
1.1.2 域
-
域(Domain)是一个有安全边界的计算机集合(升级版的工作组),不同域不可互访,想要访问域内的资源必须以合法的身份访问,并且有响应的权限
-
域控制器(Domain Controller,简称 DC )是一个域中的一台类似管理服务器的计算机,相当于一个门卫,负责每台联入的电脑和用户的验证工作域内的计算机如果想互相访问就需要经过域控制器的审核
1.1.2.1 单域
一个域、一般至少有两台服务器,一台为域控制器,另一台做为备份域控制器,一般活动目录的数据库是存在域控中的。一旦使用过程中其中一台挂掉了,可以使用另一台恢复。否侧域内的其他用户就不能登录域了
1.1.2.2 父域和子域
由于管理的特殊需求,需要在网络中划分多个域,第一个域就是父域,之后划分出的域就是该域的子域。比如公司的一些保密部门需要一些特殊的策略,那么可以将这些部门单独作为一个子域来管理,并且这个子域可以自己管理自己的资源。
1.1.2.3 域树
是多个域建立信任关系的集合。一个域管理员只能管理本域,不能访问或者管理其他的域,如果两个域之间需要互相访问,则需要建立信任关系。
1.1.2.4 域森林
是多个域树建立信任关系的集合。比如A公司收购了B公司,只需要将两个域树互信,就可以管理和使用整个域森的资源,并且保留公司原来的特性。
1.1.3 活动目录
活动目录(Active Directory)是域环境中提供目录服务的组件。
比如网络规模很大,需要把网络中的众多的信息整理在一起,这个拥有层次的数据库就是活动目录数据库,简称AD库,内网中安装了AD库的计算机,就成为了域控(DC)
活动目录的主要功能:
-
账号集中管理
-
软件集中管理
-
环境集中管理
-
增强安全性
-
更可靠,更少的宕机时间
-
活动目录为Microsoft统一管理的基础平台
1.1.4 域控制器和活动目录区别
如果网络规模较大,我们就会考虑把网络中的众多对象:计算机、用户、用户组、打印机、共享文件等,分门别类、井然有序地放在-一个.大仓库中,并做好检索信息,以利于查找、管理和使用这些对象(资源)。这个有层次结构的数据库,就是活动目录数据库,简称AD库。
那么我们应该把这个数据库放在哪台计算机上呢?规定是这样的,我们把存放有活动目录数据库的计算机就称为DC。所以说我们要实现域环境,其实就是要安装AD,当内网中的一台计算机安装了AD后,它就变成了DC。
1.1.5 安全域的划分
划分安全与的目的就是将一组安全等级相同的计算机划入同一个网段,这个网段内的计算机有相同的网络边界,并在网络边界上通过部署防火墙来实现对其他安全域的访问控制策略(NACL)。当攻击发生到时候就可以尽可能的将威胁隔离,从而降低攻击影响。
一般划分为三个区域,
1.安全级别最高的内网,内网分为
办公区员工日常工作的区域,是攻击者进入内网的重要途径之一。
核心区重要数据、文档信息,一般只有很少的计算机有访问权限。
2.安全级别中等的DMZ,DMZ称为隔离区,就是为了解决安装防火墙以后外部网络不能访问内部网络服务器的问题,是一个非安全区域与安全区域之间的一个缓冲区。一般在DMZ中放置一些对外的服务器设备,比如Web服务器,论坛服务器等。
3.安全级别最低的外网
1.1.6 域中计算机的分类
域控制器,成员服务器,客户机,独立服务器
1.1.7 域内权限解读
域本地组,全局组,通用组,A-G-DL-P 策略
扫一扫
2092
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
