常見的內網結構

工作組(work group)是內網中的乙個結構，它通過最常見的資源管理模式實現網路資源共享。

是因為預設情況下，計算機都是採用工作組方式進行資源管理，將不同的電腦按功能分別列入不同的組中，以方便管理（預設所有的計算機都屬於workgroup工作組中，預設共享的是user目錄）。工作組資源管理模式適合於網路中計算機不多，對管理要求不嚴格的情況。

特點是工作組中所有的計算機都是平等的，沒有管理與被管理之分，因此工作組網路也稱為對等網路。

資料夾→網路，就可以看到和你同處在乙個工作組中的其他計算機，如果要訪問其中的某台計算機，直接點選它，然後輸入該主機的使用者名稱和密碼即可訪問共享的目錄。

工作組加入

計算機→屬性→更改設定→更改→加入乙個work group(可輸入已存在的工作組名稱，如果你輸入的工作組名稱網路中沒有，代表新建乙個work group並加入其中)→重新啟動即可

工作組退出

和工作組加入一樣，只要將工作組名稱寫空或者寫成任意乙個別的工作組即可退出

計算機通過工作組進行分類，使我們訪問的資源結構化更強。工作組情況下資源可以一定隨機和靈活的分布，工作組資源管理模式適合於網路中計算機不多，對管理要求不嚴格的情況。它的加入\退出和訪問都非常簡單，能夠更方便地實現資源共享，管理員只需要實施簡單的維護。

缺乏集中管理與控制的機制，沒有集中的統一帳戶管理，沒有對資源實施更加高效率的集中管理，沒有實施工作站的有效配置和安全性嚴密控制。只適合小規模使用者的使用。

域中相關概念有域、域樹、域林、根域

可以簡單的理解成工作組的公升級版，域對於加入和退出有嚴格的控制，由至少一台伺服器負責每一台聯入網路的電腦和使用者的驗證工作，這個伺服器稱為"域控"（domain controller）。

父域與子域：子域就是指在乙個域下又建立的乙個域

域樹也不難理解，由多個域組成，這些域共享同一表結構和配置，形成乙個連續的名字空間

比如 bj.contoso.com 和 sh.contoso.com 就是 contoso.com的子域，他們的命名是連續的，這種結構就叫做域樹

域林是指由乙個或多個沒有形成連續名字空間的域樹組成，如下圖的結構

contoso.com 和 seattle.com 這兩個域樹就組成了乙個域林。

域林中的所有域樹仍共享同乙個表結構、配置和全域性目錄。

域林中的所有域樹通過kerberos 信任關係建立起來。

其中 contoso.com這個域樹是我們第乙個建立的域樹，整個域林中所建立的第乙個域就是根域。

而根域在整個域林中的地位、優先順序、重要性、針對其他域的可制約性都是很強大的。而且在乙個域林中只能有乙個根域。

ad（active directory）中文翻譯為活動目錄，是微軟windows server中，負責架構中大型網路環境的集中式目錄管理服務，它處理了在組織中的網路物件，物件可以是計算機，使用者，群組，組織單元（ou）等等，只要是在ad結構定義中定義的物件，就可以儲存在ad資料資料夾中。

如果將企業的內網看成是一本字典，那麼內網裡的資源就是字典的內容， ad就相當於字典的索引。即活動目錄儲存的是網路中所有資源的快捷方式，使用者通過尋找快捷方式而定位資源。

ad微軟構建這樣的乙個服務它的意義何在？可以分為以下幾個方面來了解：

1.使用者服務

管理使用者的域賬號、使用者資訊、企業通訊錄（與電子郵箱系統整合）、使用者組管理、使用者身份認證、使用者授權管理、按需實施組管理策略等。這裡不單單指某些線上的應用，更多的是指真實的計算機，伺服器等。

2.計算機管理

管理伺服器及客戶端計算機賬戶、所有伺服器及客戶端計算機加入域管理並按需實施組策略。

3.資源管理

管理印表機、檔案共享服務、網路資源等實施組策略。

4.應用系統的支援

5.客戶端桌面管理

系統管理員可以集中的配置各種桌面配置策略，如：使用者適用域中資源許可權限制、介面功能的限制、應用程式執行特徵的限制、網路連線限制、安全配置限制等。

1.域(domain)

域是ad的根，是ad的管理單位。域中包含著大量的域物件，如：組織單位，組，使用者，計算機，聯絡人,印表機，安全策略等。

2.組織單位(organization unit)

組織單位簡稱為ou是乙個容器物件，可以把域中的物件組織成邏輯組，幫助網路管理員簡化管理組。組織單位可以包含下列型別的物件：使用者，計算機，工作組，印表機，安全策略，其他組織單位等。可以在組織單位基礎上部署組策略，統一管理組織單位中的域物件。

3.群組(group).

群組是一批具有相同管理任務的使用者賬戶，計算機賬戶或者其他域物件的乙個集合。

群組型別分為兩類:

2.通訊組：用於使用者之間通訊的組，適用通訊組可以向一組使用者傳送電子郵件。

4.使用者(user)

ad中使用者是最小的管理單位，域使用者最容易管理又最難管理，如果賦予域使用者的許可權過大，將帶來安全隱患，如果許可權過小域使用者無法正常工作。

域使用者的型別，域中常見使用者型別分為：

普通域使用者:建立的域使用者預設就新增到"domain users"中。

域管理員:普通域使用者新增進"domain admins"中，其許可權公升為域管理員。

企業管理員:普通域管理員新增進"enterprise admins"後，其許可權提公升為企業管理員，企業管理員具有最高許可權。

dmz，也稱"非軍事化區"，可以理解為緩衝區，這個設計出來主要是為了解決基於**型防火牆的「單點故障」問題，也就是攻破防火牆後，內網大門敞開的問題。

dmz 區可以理解為乙個不同於外網或內網的特殊網路區域。

dmz 內通常放置一些不含機密資訊的公用伺服器，來自外網的訪問者只可以訪問受限的dmz 中的服務，但不可能接觸到存放在內網中的資訊等，即使 dmz 中伺服器受到破壞，內網依舊不受影響。

首先搞明白本地組與全域性組的概念

域本地組主要用來指派在其所屬域內帳戶的訪問許可權，以便訪問該域的資源。域本地組織只能夠訪問同乙個域內的資源，無法訪問其它不同域內的資源。也就是說，當在某台計算機上設定許可權時，可以設定同乙個域內的域本地組的訪問許可權，而無法設定其它域內的域本地組的許可權。

如企業現在有兩個公司，總公司與分公司，分屬於不同的域。其中員工李某與周某，分別屬於總公司與分公司。

現在就拿分公司這個域來說，我們可以在這個域中建立乙個本地組。有時會，總公司的員工李某來分公司視察的時候，需要訪問分公司的網路資源。如此的話，我們就可以把李某加入到分公司這個域的本地組，這是可以的，因為域本地組可以把其它域的使用者加入到本地組中。但是，分公司這個域本地組是沒有許可權，把自己域內的使用者，如周某加入到總公司的域本機組中去。

全域性組主要是用來組織使用者。也就是說，我們在許可權管理中，可以把根據許可權的不同對使用者進行分組，讓許可權相同的使用者帳戶歸屬於同乙個全域性組。全域性組可以訪問任何乙個域內的資源，即可以在任何乙個域內設定全域性組的訪問許可權。也就是說，可以把全域性組認為沒有域的限制，你在a域中設立全域性組，然後可以在 b域中對其訪問許可權進行修改。

a表示使用者賬號，g表示全域性組，dl表示域本地組，p表示資源許可權。

這個策略的意思就是先建立使用者帳戶，然後把根據帳戶的訪問許可權不同把它加入到不同的全域性組中，然後再把全域性組加入到域本地組中，最後設定域本地組的許可權。如此的話，域中的任何乙個使用者只要針對域本地組來設定訪問許可權，則出於該域本地組中的全域性組中的所有使用者，都適用剛才設定的訪問許可權。

常見的內網結構

內網滲透常見命令收集整理

常見的資料結構

常見的資料結構

常見的內網結構

內網滲透常見命令收集整理

常見的資料結構

常見的資料結構

相關推薦