文章源自【字节心跳社区】-字节心跳实验室
作者-Zone
扫描下方二维码步入社区:
#b:d:7:3:2:b:1:9:e:b:9:7:7:5:e:e:4:8:b:9:0:f:7:6:2:7:b:f:1:d:1:3#
外网也指局域网,是指某一区域内由多台计算机互联而成的估算机组,组网的范围一般是数千米内。
#2:8:c:2:d:c:5:3:b:4:3:c:5:4:1:7:5:6:e:7:d:2:4:0:e:6:f:6:b:9:0:5#
#5:c:4:4:3:4:a:c:c:1:6:e:5:5:6:2:9:0:2:c:1:0:e:1:9:6:7:d:d:5:3:6#
工作组
域
一个有安全边界的计算机集合
域控制器
域中的一台类似于管理服务器的计算机,负责所有连入的计算机和用户的验证工作。域内成员假如相互访问,都要经过域控制器的初审。
#2:8:c:2:d:c:5:3:b:4:3:c:5:4:1:7:5:6:e:7:d:2:4:0:e:6:f:6:b:9:0:5#
#9:a:6:f:6:d:3:d:9:b:e:6:8:5:f:b:8:8:1:4:4:8:6:2:f:6:6:1:c:e:d:b#
域中的几个环境
单域
父域和子域
网路中的多个域,第一个域称为父域,各分部的域称为
该域的子域
域树
多个域通过构建信任关系组成的集合。一个域管理员只能管理本域,不能访问或则管理其他域。假如两个域之间须要相互访问,则须要构建信任关系。信任关系是联接不同域的桥梁。
域森林
多个域树通过构建信任关系组成的集合
域名服务器
用于实现域名和与之对应的IP地址转换的服务器。
活动目录
指域环境中提供目录服务的组件
活动目录的主要功能
帐号集中管理
所有帐号均存贮在服务器中,便于执行命令和重置密码等
软件集中管理
统一推送软件、安装网路复印机等,借助软件发布策略分发软件,可以让用户自由选择
须要安装的软件。
环境集中管理
统一顾客端桌面、IE、TCP/IP合同等设置
提高安全性
统一布署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一制订用户密码策略等。可以监控网路,对资料进行统一管理。
更可靠,更短的宕机时间
借助活动目录控制用户访问权限,借助群集、负载均衡等技术对文件服务器进行容灭设置。网路更可靠,宕机时间更短。
活动目录是谷歌提供的统一管理基础平台,ISA、Exchange、SMS等都依赖这个平台。
活动目录数据库简称AD库,要实现域环境,虽然就是要安装AD。一台计算机安装了AD,他就弄成了DC(用于储存活动目录数据库的计算机)
安全域的界定
界定安全域的目的是将一组安全等级相同的计算机纳入统一个网关,这个网关内的计算机拥有相同的网路边界,并在网路边界上通过布署防火墙来实现对其他安全域的网路访问控制策略(NACL),因而对容许这些IP地址访问此域、允许此域访问这些IP地址和网关进行设置。
在用路由器联接的外网中,可以将网路界定为三个区域:安全级别最高的外网;安全级别中等的DMZ;安全级别最低的内网(Internet)。
#2:8:c:2:d:c:5:3:b:4:3:c:5:4:1:7:5:6:e:7:d:2:4:0:e:6:f:6:b:9:0:5#
#1:a:6:e:f:f:7:9:a:e:6:3:d:d:0:e:5:8:d:b:b:9:8:8:5:2:a:3:7:5:b:f#
DMZ称为隔离区,是为了解决安装防火墙后外部网路不能访问内部服务器的问题而筹建的一个
非安全系统与安全系统之间的缓冲区。DMZ坐落企业内部网路和外部网路之间。DMZ是对外提供服务的区域,因而可以从外部访问。
在配置一个拥有DMZ的网路时,一般须要定义如下访问控制策略
外网可以访问内网:外网用户须要自由地访问内网。防火墙须要进行NAT
外网可以访问DMZ:此策略时用户可以使用或则管理DMZ中地服务器
内网不能访问外网:防火墙的基本策略,如需访问,通过VPN的方法
内网可以访问DMZ:须要由防火墙来完成对外地址到服务器实际地址的转换
DMZ不能访问外网:如不执行,功击者占领DMZ时,厄尼旺将难以收到保护
DMZ不能访问内网:有例外
外网可以分为办公区和核心区(纵向联通功击的优先查找目标)
域中计算机的分类
域控制器
用于管理所有的网路访问,包括登陆服务器、访问共享目录和资源。域控制器中储存了域内
所有的帐户和策略信息,包括安全策略、用户身分验证信息、账户信息。在网路中,可以有多台计算机被配置为域控制器,以分担用户的登陆、访问等操作。多个域控制器额可以一起工作,手动备份用户帐户和活动目录数据。提升了网路的安全性和稳定性
成员服务器
指安装了服务器操作系统并加入了域、但没有安装活动目录的计算机,主要任务时提供网路
资源。一般有文件服务器、应用服务器、数据库服务器、WEB服务器、邮件服务器、防火墙、远程访问服务器、打印服务器等
顾客机
独立服务器
假如服务器既不加入域,也不安装活动目录,就称其为独立服务器。独立服务器可以创建工
作组、与网路中的其他计算机共享资源,但不能使用活动目录提供的任何服务。
域控制器用于储存活动目录数据库,频域中必须有的,而其他三种则不是必须有的。最简单
的域可以只包含一台计算机,就是该域的域控制器。
域内权限剖析
组时用户帐号的集合。通过向一组用户分配权限,就可以毋须向每位用户分别分配权限。
域本地组
多域用户访问单域资源(访问同一个域),可以从任何域添加用户帐号、通用组和全局组,
但只能在其所在域内委派权限。域本地组不能嵌套在其他组中。域本地组主要用于授予本域内资源的访问。
全局组
单域用户访问多域资源(必须时同一个域中的用户),只能在创建该全局组的域中添加用户
和全局组。可以在域森林的任何域内委派权限。全局组可以嵌套在其他组中。
可以将某个全局组添加到同一个域的另一个全局组中,或则添加到其他域的通用组和域本地
组中(不能添加到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。似乎可以通过全局组授予用户访问任何域内资源的权限,但通常不直接拿来进行权限管理
通用组
通用组成员来自域森林中任何域的用户帐号、全局组和其他通用组。可以在该域森林的任何
域手指派权限,可以嵌套在其他组中,特别适宜在域森林内的跨域访问。通用组的成员不是保存在各自的域控制器中,而是保存在全局编录(GC)中,任何变化就会造成全林复制。
全局编录一般用于储存一些不时常发生变化的信息。因为用户帐号信息时常常变化的,建议
不直接将用户帐号添加到通用组中,先将用户帐号添加到全局组中,在把这种相对稳定的全局组添加到通用组中。
域本地组来自全林,作用于本域;全局组来自本域,作用于全林;通用组来自全林,作用于
全林。
A-G-DL-P策略
指将用户帐号添加到全局组中,将全局组添加到域本地组中,之后为域本地组分配资源
A:用户帐号
G:全局组
U:通用组
DL:域本地组
P:资源管理
在安装域控制器时,系统会手动生成一些组,称为外置组。外置组定义了一些常用的权限,通过将用户添加到外置组中,可以时用户获得相应的权限。
域本地权限
管理员组
可以不受限制地存取计算机/域的资源,在活动目录和域控制器中默认具有管理员权限的组。
远程登陆组
具有远程登陆权限
复印机操作组
可以管理复印机,包括完善、管理及删掉网路复印机,可以在本地登陆和关掉域控制器
帐号操作组
可以创建和管理该域中的用户和组并为其设置权限,也可以在本地登陆域控制器。默认情况下,该组中没有成员
服务器操作组
可以管理域服务器,其权限包括完善/管理/删掉任意服务器的共享目录、管理网路复印机、备份任何服务器的文件、格式化服务器硬碟、锁定服务器、变更服务器的系统时间、关闭域控制器等,默认情况下,该组中没有成员
备份操作组
可以在域控制器中执行备份和还原操作,并可以在本地登陆和关掉域控制器。默认情况下,该组中没有成员
全局组、通用组的权限
域管理员组
其组内成员在所有加入域的服务器(工作站)、域控制器和活动目录中均默认拥有完整的管理员权限
企业系统管理员组
域森林根域中的一个组。该组在域森林中的每位域内都是Administrators组的成员,因而对所有域控制器都有完全访问权
构架管理员组
域森林根域中的一个组,可以更改活动目录和域森林的模式。该组是为活动目录和域控制器提供完整权限的域用户组。
域用户组
所有的域成员。默认情况下,任何由我们构建的用户帐号都属于DomainUsers组,而任何由我们构建的计算机帐号都属于DomainComputers组。
附送一份外网学习思维导图
#2:8:c:2:d:c:5:3:b:4:3:c:5:4:1:7:5:6:e:7:d:2:4:0:e:6:f:6:b:9:0:5#
#d:e:b:e:f:e:9:b:c:2:d:5:1:2:6:4:5:d:1:a:c:0:1:d:e:9:8:8:3:7:3:a#
通知!
公众号招募文章投稿男子伴啦!只要你有技术有看法要分享给更多的同学,就可以参与到我们的投稿计划当中哦~感兴趣的同学公众号首页菜单栏点击【商务合作-我要投稿】即可。期盼你们的参与~
#d:2:c:2:2:4:3:0:5:7:0:3:9:6:d:f:d:d:f:b:a:6:f:5:a:a:e:b:d:5:0:b#
记得扫码
