1 內(nèi)網(wǎng)基礎(chǔ)

內(nèi)網(wǎng)/局域網(wǎng)（Local Area Network，LAN），是指在某一區(qū)域內(nèi)有多臺計算機互聯(lián)而成的計算機組，組網(wǎng)范圍通常在數(shù)千米以內(nèi)。在局域網(wǎng)中，可以實現(xiàn)文件管理、應(yīng)用軟件共享、打印機共享、工作組的日程安排、電子郵件和傳真通信服務(wù)等。內(nèi)網(wǎng)是封閉的，可以有辦公室內(nèi)的兩臺計算機組成，也可以由一個公司內(nèi)的大量計算機組成。

1.1 內(nèi)網(wǎng)滲透基礎(chǔ)知識

1.1.1 工作組

為了解決成千上百的電腦連接在一起組成的局域網(wǎng)，管理混亂問題，有了**工作組(Work Group)**概念。

例如：

有技術(shù)部和行政部，想要訪問某個部門的資源，只要在網(wǎng)絡(luò)點擊工作組名即可。

加入工作組方法：

如果工作組在網(wǎng)絡(luò)中不存在，則會新建一個（重啟生效）。如果退出工作組，修改工作組名即可。

完成后，別人可以訪問共享的資源。

工作組沒有集中管理的作用，工作組里的所有計算機都是對等的（沒有服務(wù)器和客戶機之分）。

1.1.2 域

應(yīng)用場景：實現(xiàn)多臺電腦批量更改密碼

**域（Domain）**是一個有安全邊界的計算機集合（安全邊界的意思是，一個域中用戶無法訪問另一個域中的資源），可以看做升級版工作組，必須合法身份登錄才行（還可以對資源加用戶權(quán)限）。

**域控制器（Domain Controller，DC）**是域中的一臺類似管理服務(wù)器的計算機。域內(nèi)計算機互相訪問，都要經(jīng)過域控制器審核。

域控制器中存在有這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。

域中一般有如下幾個環(huán)境：

1. 單域

應(yīng)用場景：一般用于地理位置固定的小公司

在一個域內(nèi)至少兩臺服務(wù)器，一臺作為DC，另一臺作為備份DC。

活動目的數(shù)據(jù)庫（包括用戶的賬號信息）是存儲在DC中的，如果沒有備份DC，一但DC癱瘓了，域內(nèi)其他用戶就不能登錄該域。

2. 父域和子域

第一個域成為父域，各分部的域成為該域的子域。

例如：分公司建立子域內(nèi)部傳信息

3. 域樹 Tree

域樹是通過建立信任關(guān)系組成的集合。

4. 域森林 Forest

域森林（Forest）是指多個域樹通過建立信任關(guān)系組成的集合。

5 域名服務(wù)器

域名服務(wù)器（Domain Name Server，DNS）是指用于實現(xiàn)域名（Domain Name）和與之對應(yīng)的IP地址（IP Address）轉(zhuǎn)化服務(wù)器。

從對域樹的介紹中可以看出，域樹種的域名和DNS域名池昌相似

1.1.3 活動目錄

活動目錄（Active Directory，AD）是指域環(huán)境中提供目錄服務(wù)的組件。

也就是統(tǒng)一管理

有以下功能：

1、賬號集中管理

2、軟件集中管理

3、環(huán)境集中管理

4、增強安全性

5、更可靠

活動目錄是微軟提供的統(tǒng)一管理基礎(chǔ)平臺，ISA、Exchange、SMS等都依賴這個平臺。

1.1.5 安全域的劃分

劃分安全域的目的是將一組安全等級相同的計算機劃入同一個網(wǎng)段。當攻擊時，可以盡可能地將威脅隔離，從而降低對域內(nèi)計算機的影響。

虛線框表示一個安全域（也是內(nèi)網(wǎng)絡(luò)的邊界，一般分為DMZ和內(nèi)網(wǎng)），通過硬件防火墻的不同端口實現(xiàn)隔離。

DMZ稱為隔離區(qū)，為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題。

可以在DMZ放必須公開的服務(wù)器設(shè)施：Web服務(wù)器、FTP服務(wù)器等

1.1.6 域中計算機的分類

1 域控制器

用于管理所有網(wǎng)絡(luò)訪問，包括登錄服務(wù)器、訪問共享目錄和資源。

存儲域內(nèi)所有賬戶策略信息，包括安全策略、用戶身份驗證信息 和賬戶信息。

2 成員服務(wù)器

指安裝了服務(wù)器操作系統(tǒng)并加入了域、但沒有安裝活動目錄的計算機。

主要提供網(wǎng)絡(luò)資源。

類型有：

文件服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、Web服務(wù)器、郵件服務(wù)器、防護墻、遠程訪問服務(wù)器、打印服務(wù)器

3 客戶機

域中的計算機安裝了其他操作系統(tǒng)的計算機。

可利用域中賬戶登錄域。

4 獨立服務(wù)器

和域沒有關(guān)系。既不加入域，也不安裝活動目錄。

1.17 域內(nèi)權(quán)限解讀

組（Group）是用戶賬號的集合。通過向一組用戶分配權(quán)限，就可以不必向每個用戶分配權(quán)限。

1 域本地組

主要用于授予本地域內(nèi)資源的訪問權(quán)限。

2 全局組

單域用戶訪問多域資源（必須是同于個域中的用戶），只能在該全局組的雨中條件用戶和全局組，可以在域森林的任何域內(nèi)指派權(quán)限。全局組可以其那套在其他組中。

3 通用組

通用組成員來自域森林中任何域的用戶賬號、安全組和其他通用組，可以在該域森林的任何域中指派權(quán)限，可以嵌套在其他組中，非常適合域森林內(nèi)的跨域訪問中使用。

其保存在去哪聚編錄(GC)中。

4 A-G-DL-P策略

指將用戶賬號添加到全局組中，將全局組添加到本地組中，然后為本地組分配資源權(quán)限。

A：用戶賬號（Account）

G：全局組（Global Group）

U：通用組（Universal Group）

DL：域本地組（Domain Loacal Group）

P：資源權(quán)限（Permission，許可）

總結(jié)

以上是生活随笔為你收集整理的内网之工作组、域 分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。