內(nèi)網(wǎng)基礎(chǔ)知識總結(jié)

內(nèi)網(wǎng)基礎(chǔ)知識總結(jié)

一.內(nèi)網(wǎng)概述

內(nèi)網(wǎng)也指局域網(wǎng)(是指在某一區(qū)域內(nèi)由多臺

LocalAreaNetworkzLAN)

計算機互聯(lián)成的計算機組。一般是方圓幾千米以內(nèi)。局域網(wǎng)可以實現(xiàn)文件管理、

應(yīng)用軟件共享、打印機共享、工作組內(nèi)的歷程安排、電子郵件和傳真通信服務(wù)等

功能。

內(nèi)網(wǎng)是封閉型的，它可以由辦公室內(nèi)的兩臺計算機組成?也可以由一個公司

內(nèi)的上千臺計算機組成。歹II如銀行、學(xué)校、企業(yè)工廠、政府機關(guān)、網(wǎng)吧、單位辦

公網(wǎng)等都屬于此類。

二.工作組

2.1簡介

工作組(WorkGroup),在一個大的單位內(nèi)，可能有成百上千臺電腦互相

連接組成局域網(wǎng)，它們都會列在“網(wǎng)絡(luò)(網(wǎng)上鄰居)"內(nèi)，如果這些電腦不分組，

可想而知有多么混亂，要找一臺電腦很困難。為了解決這一問題，就有了"工作

組”這個概念，將不同的電腦一般按功能(或部門)分別列入不同的工作組中，

如技術(shù)部的電腦都列入“技術(shù)部”工作組中彳亍政部的電腦都列入“行政部"工

作組中。你要訪問某個部門的資源，就在“網(wǎng)絡(luò)"里找到那個部門的工作組名，

雙擊就可以看到那個部門的所有電腦了。相比不分組的情況就有序的多了，尤其

是對于大型局域網(wǎng)絡(luò)來說。

技相B

1----------------------------------------------------------------1

frMB

2.2加入/創(chuàng)建工作組

右擊桌面上的〃計算機"，在彈出的菜單出選擇〃屬性〃，點擊〃更改設(shè)

置"，"更改〃，在"計算機名"一欄中鍵入你想好的名稱，在“工作組”一欄

中鍵入你想加入的工作組名稱。

如果你輸入的工作組名稱網(wǎng)絡(luò)中沒有，那么相當(dāng)于新建了一個工作組，當(dāng)然

暫時只有你的電腦在組內(nèi)。單擊“確定"按鈕后Windows提示需要重新啟動，

重新啟動之后，再進入“網(wǎng)絡(luò)"就可以看到你所加入的工作組成員了。

2.3退出工作組

只要將工作組名稱改動即可。不過在網(wǎng)上別人照樣可以訪問你的共享資源。

你也可以隨便加入同一網(wǎng)絡(luò)上的任何其它工作組。"工作組〃就像一個可以自由

進入和退出的"社團〃，方便同一組的計算機互相訪問。

所以工作組并不存在真正的集中管理作用，工作組里的所有計算機都是對等的,

也就是沒有服務(wù)器和客戶機之分的。

2.4工作組的局限性

假如一個公司有200臺電腦，我們希望某臺電腦上的賬戶Alan可以訪問每

臺電腦內(nèi)的資源或者可以在每臺電腦上登錄。那么在〃工作組〃環(huán)境中，我們必

須要在這200臺電腦的各個SAM數(shù)據(jù)庫中創(chuàng)建Alan這個賬戶。一旦Alan想

要更換密碼，必須要更改200次!現(xiàn)在只是200臺電腦的公司，如果是有5000

臺電腦或者上萬臺電腦的公司呢?估計管理員會抓狂。

三.城

3.1簡介

域（Domain）是一個有安全邊界的計算機集合（安全邊界意思是在兩個域中，

一個域中的用戶無法訪問另一個域中的資源），可以簡單的把域理解成升級版的

〃工作組”，相比工作組而言，它有一個更加嚴(yán)格的安全管理控制機制，如果你想

訪問域內(nèi)的資源，必須擁有一個合法的身份登陸到該域中，而你對該域內(nèi)的資源擁

有什么樣的權(quán)限，還需要取決于你在該域中的用戶身份。

域控制器（DomainController,簡寫為DC）是一個域中的一臺類似管理

服務(wù)器的計算機，相當(dāng)于一個單位的門衛(wèi)一樣，它負(fù)責(zé)每一臺聯(lián)入的電腦和用戶

的驗證工作，域內(nèi)電腦如果想互相訪問首先都是經(jīng)過它的審核。

3.2組織單元0U

在域中，一個組織單元0U是把對象組織成邏輯管理組的容器，其中包括一

個或多個對象，如用戶賬號、組、計算機、打印機、應(yīng)用、文件共享或其他0U

等。

3.3單域

在一般的具有固定地理位置的小公司里，建立一個域就可以滿足所需。

一般在一個域內(nèi)要建立至少兩個域服務(wù)器，一個作為DC,一個是備份DC。

如果沒有第二個備份DC,那么一旦DC癱瘓了，則域內(nèi)的其他用戶就不能登陸

該域了，因為活動目錄的數(shù)據(jù)庫（包括用戶的賬號信息）是存儲在DC中的。而

有一臺備份域控制器（BDC）,則至少該域還能正常使用，期間把癱瘓的DC恢

復(fù)了就行了。

3.4父域和子域

出于管理及其他一些需求，需要在網(wǎng)絡(luò)中劃分多個域，第一個域稱為父域,

各分部的域稱為該域的子域。

比如一個大公司，它的不同分公司在不同的地理位置，則需父域及子域這樣

的結(jié)構(gòu)。如果把不同地理位置的分公司放在同一個域內(nèi)，那么他們之間信息交互

（包括同步，復(fù)制等）所花費的時間會比較長，而且占用的帶寬也比較大。（因

為在同一個域內(nèi),信息交互的條目是很多的，而且不壓縮；用在堞口域之間，信

息交互的條目相對較少，而且壓縮。）

還有一個好處，就是子公司可以通過自己的域來管理自己的資源。

還有一種情況，就是出于安全策略的考慮，因為每個域都有自己獨有的安全

策略。比如一個公司的財務(wù)部門希望能使用特定的安全策略（包括賬號密碼策略

等），那么可以將財務(wù)部門做成一個子域來單獨管理。

3.5域樹

域樹指若干個域通過建立信任關(guān)系組成的集合。一個域管理員只能管理本域

的內(nèi)部，不能訪問或者管理其他的域，二個域之間相互訪問則需要建立信任關(guān)系

（TrustRelation）o

信任關(guān)系是連接在域與域之間的橋梁。域樹內(nèi)的父域與子域之間不但可以按

需要相互進行管理，還可以跨網(wǎng)分配文件和打印機等設(shè)備資源，使不同的域之間

實現(xiàn)網(wǎng)絡(luò)資源的共享與管理，以及相互通信和數(shù)據(jù)傳輸。

在一個域樹中，父域可以包含很多子域，子域是相對父域來說的，指域名中

的每一個段。子域只能使用父域作為域名的后綴，也就是說在一個域樹中，域的

名字是連續(xù)的。

3.6域森林

域森林指若干個域樹通過建立信任關(guān)系組成的集合?？梢酝ㄟ^域樹之間建立

的信任關(guān)系來管理和使用整個森林中的資源,從而又保持了原有域自身原有的特

性。

abcnet

3.7DNS域名服務(wù)器

DNS域名服務(wù)器(DomainNameServer)是進行域名(domainname)和

與之相對應(yīng)的IP地址(IPaddress)轉(zhuǎn)換的服務(wù)器。

在域樹的介紹中，可以看到域樹中的域的名字和DNS域的名字非常相似,

實際上域的名字就是DNS域的名字，因為域中的計算機使月DNS來定位域控

制器和服務(wù)器以及其他計算機、網(wǎng)絡(luò)服務(wù)等。

一般情況下，我們在內(nèi)網(wǎng)滲透時就通過尋找DNS服務(wù)器來定位域控制器，因

為通常DNS服務(wù)器和域控制器會處在同一臺機器上。

3.8活動目錄

活動目錄(ActiveDirectory)是域環(huán)境中提供目錄服務(wù)的組件。

目錄是什么？目錄就是存儲有關(guān)網(wǎng)絡(luò)對象(如用戶、組、計算機、共享資源、打

印機和聯(lián)系人等)的信息。目錄服務(wù)是幫助用戶快速準(zhǔn)確的從目錄中查找到他所

需要的信息的服務(wù)。

如果將企業(yè)的內(nèi)網(wǎng)看成是一本字典，那么內(nèi)網(wǎng)里的資源就是字典的內(nèi)容，活

動目錄就相當(dāng)于字典的索引。即活動目錄存儲的是網(wǎng)絡(luò)中所有資源的快捷方式,

用戶通過尋找快捷方式而定位資源。

3.9邏輯結(jié)構(gòu)

在活動目錄中(ActiveDirectory)，管理員可以完全忽略被管理對象的具體

地理位置，而將這些對象按照一定的方式放置在不同的容器中。由于這種組織對

象的做法不考慮被管理7寸象的具體地理位置，這種組織框架稱為“邏輯結(jié)構(gòu)"。

活動目錄的邏輯結(jié)構(gòu)就包括上面講到的組織單元(0UI域(domain\域

樹(tree\域森林(forest\在域樹內(nèi)的所有域共享一個活動目錄,這個活動

目錄內(nèi)的數(shù)據(jù)分散地存儲在各個域內(nèi)，且每一個域只存儲該域內(nèi)的數(shù)據(jù)。

四?活動目錄的主要功能

賬號集中管理，所有賬號均存在服務(wù)器上,方便對賬號的重命令/重置密碼。

軟件集中管理，統(tǒng)一推送軟件，統(tǒng)一安裝網(wǎng)絡(luò)打印機等。利用軟件發(fā)布策略分發(fā)

軟件，可以讓用戶自由選擇安裝軟件。

環(huán)境集中管理，利用AD可以統(tǒng)一客戶端桌面，正,TCP/IP等設(shè)置。

增強安全性，統(tǒng)一部署殺毒軟件和掃毒任務(wù)，集中化管理用戶的計算機權(quán)限、統(tǒng)

一制訂用戶密碼策略等，可監(jiān)控網(wǎng)絡(luò)，資料統(tǒng)一管理。

更可靠，更少的宕機時間。如：利用AD控制用戶訪問權(quán)限，利用群集、負(fù)

載均衡等技術(shù)對文件服務(wù)器進行容災(zāi)設(shè)定，更可靠，宕機時間更少。

活動目錄為Microsoft統(tǒng)一管理的基礎(chǔ)平臺,其它isa,exchange,sms等服

務(wù)都依賴于這個基礎(chǔ)平臺。

五、AD與DC的區(qū)別

如果網(wǎng)絡(luò)規(guī)模較大，我們就會考慮把網(wǎng)絡(luò)中的眾多對象：計算機、用戶、用

戶組、打印機、共享文件等，分門別類、井然有序地放在一個大倉庫中，并做好

檢索信息，以利于查找、管理和使用這些對象（資源X這個有層次結(jié)構(gòu)的數(shù)據(jù)

庫，就是活動目錄數(shù)據(jù)庫，簡稱AD庫。

那么我們應(yīng)該把這個數(shù)據(jù)庫放在哪臺計算機上呢？規(guī)定是這樣的，我們把存

放有活動目錄數(shù)據(jù)庫的計算機就稱為DC。所以說我們要實現(xiàn)域環(huán)境，其實就是

要安裝AD,當(dāng)內(nèi)網(wǎng)中的一臺計算機安裝了AD后，它就變成了DC。

那么有了域環(huán)境的話，回答最初的問題：在域環(huán)境中，只需要在活動目錄中

創(chuàng)建一次Alan賬戶，那么就可以在任意200臺電腦中的一臺上登錄Alan,如

果要為Alan賬戶更改密碼，只需要在活動目錄中更改一次就可以了。

六.安全域劃分

安全域劃分的目的是將一組安全等級相同的計算機劃入同一個網(wǎng)段內(nèi)，這一

網(wǎng)段內(nèi)的計算機擁有相同的網(wǎng)絡(luò)邊界，在網(wǎng)絡(luò)邊界上采用防火墻部署來實現(xiàn)對其

他安全域的NACL（網(wǎng)絡(luò)訪問控制策略），允許哪些IP訪問此域、不允許哪些訪

問此域；允許此域訪問哪些IP/網(wǎng)段、不允許訪問哪些IP/網(wǎng)段。使得其風(fēng)險最小

化，當(dāng)發(fā)生攻擊時可以將威脅最大化的隔離，減少對域內(nèi)計算機的影響。

七、DMZ區(qū)域

7.1簡介

DMZ稱為〃隔離區(qū)"，也稱〃非軍事化區(qū)〃。是為了解決安裝防火墻后外

部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之

間的緩沖區(qū)。

這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)

絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施,如企業(yè)Web服務(wù)器、FTP服務(wù)

器和論壇等。

另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡(luò)，因為這

種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。

7.2DMZ的屏障功能

內(nèi)網(wǎng)可以訪問外網(wǎng)：內(nèi)網(wǎng)的用戶需要自由地訪問外網(wǎng)。在這一策略中，防火

墻需要執(zhí)行NAT。

內(nèi)網(wǎng)可以訪問DMZ:此策略使內(nèi)網(wǎng)用戶可以使用或者管理DMZ中的服務(wù)

器。

外網(wǎng)不能訪問內(nèi)網(wǎng)：這是防火墻的基本策略了，內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)

據(jù)，顯然這些數(shù)據(jù)是不允許外網(wǎng)的用戶進行訪問的。如果要訪問，就要通過VPN

方式來進行。

外網(wǎng)可以訪問DMZ:DMZ中的服務(wù)器需要為外界提供服務(wù)，所以外網(wǎng)必

須可以訪問DMZ。同時，外網(wǎng)訪問DMZ需要由防火墻完成對外地址到服務(wù)器

實際地址的轉(zhuǎn)換。

DMZ不能訪問內(nèi)網(wǎng)：如不執(zhí)行此策略，則當(dāng)入侵者攻陷DMZ時，內(nèi)部網(wǎng)

絡(luò)將不會受保護。

DMZ不能訪問外網(wǎng)：此條策略也有例外，比如我們的例子中，在DMZ中

放置郵件服務(wù)器時，就需要訪問外網(wǎng)，否則將不能正常工作。

八.域中計算機分類

?域控制器

?成員服務(wù)器

?客戶機

?獨立服務(wù)器

域控制器是存放活動目錄數(shù)據(jù)庫的，是域中必須要有的，而其他三種則不是

必須的，也就是說最簡單的域可以只包含一臺計算機，這臺計算機就是該域的域

控制器。

域中各個服務(wù)器的角色也是可以改變的，例如域服務(wù)器在刪除活動目錄時,

如果是域中最后一個域控制器，則該域服務(wù)器會成為獨立服務(wù)器，如果不是域中

唯一的域控制器，則將使該服務(wù)器成為成員服務(wù)器。

同時獨立服務(wù)器既可以轉(zhuǎn)換為域控制器，也可以加入到某個域成為成員服務(wù)

器。

九、域內(nèi)權(quán)限解讀

9.1組

組（Group）是用戶賬號的集合。通過向一組用戶分配權(quán)限從而不必向每個

用戶分配權(quán)限，管理員在日常工作中不必要去為單個用戶賬號設(shè)置自己獨特的訪

問權(quán)限，而是將用戶賬號加入到相對應(yīng)的安全組中。管理員通過給相對的安全組

訪問權(quán)限就可以了，這樣所有加入到安全組的用戶賬號都將有同樣的權(quán)限。使用

安全組而不是單個的用戶賬號可以方便，簡化網(wǎng)絡(luò)的維護和管理工作。

9.2域本地組

域本地組，多域用戶訪問單域資源（訪問同一個域X可以從任何域添加用

戶賬戶、通用組和全局組，只能在其所在域內(nèi)指派權(quán)限。域本地組不能嵌套于其

他組中。它主要是用于授予位于本域資源的訪問權(quán)限。

9.3全局組

全局組，單域用戶訪問多域資源（必須是同一個域里面的用戶X只能在創(chuàng)

建該全局組的域上進行添加用戶和全局組，可以在域林中的任何域中指派權(quán)限,

全局組可以嵌套在其他組中。

9.4通用組

通用組，通用組成員來自域林中任何域中的用戶賬戶、全局組和其他的通用

組，可以在該域林中的任何域中指派權(quán)限，可以嵌套于其他域組中。非常適于域

林中的跨域訪問。

可以簡單這樣記憶：

?域本地組：來自全林用于本域

?全局組：來自本域用于全林

?通用組：來自全林用于全林

十.A-GDLP策略

?A(account),表示用戶賬號

?G(Globalgroup),表示全局組

?U(Universalgroup),表示通用組

?DL(Domainlocalgroup),表示域本地組

?P(Permission許可),表示資源權(quán)限。

A-G-DL-P策略是將用戶賬號添加到全局組中，將全局組添加到域本地組中，

然后為域本地組分配資源權(quán)限。按照AGDLP的原則對用戶進行組織和管理起來

更容易。

在AGDLP形成以后，當(dāng)給一個用戶某一個權(quán)限的時候，只要把這個用戶加入

到某一個本地域組就可以了。

ActiveDirectory用戶和計JI機

文做D

?.石國0口?3日國&%

ctiveDirectory用awj?a.酶

一保存的疊位CloneableDomainControllers安全里.全局可以寬建比坦金作KH及麗的應(yīng)巴

Jhacker.testlabaDnsUpdateProxy安全組-全局元在也其笆^^餐回DHCP鬣務(wù)輸..

23Buikin

1a達DomainAdmins安全組?全局

一Computers電DomainComputers安至組.全理聲m奔工作玷電服務(wù)■

J'IDomainCon

電DomainQsntrollers安全組.全國及a新有城控的II

_]ForeignSecu

達DomainGuests安全組-全局碗所有來賓

0ManagedSt

DomainUsers安全沮-全局所有城用戶

Users

電GroupPolicyCreatorOwners安全組.全理這個組中的成先可以修改的里量?

眩ProtectedUsers