总结:内网基础知识
内网:指局域网,某一群鱼内由多台计算机互联的计算机就组,一般是方圆几千米以内。局域网内可以实现文件管理,应用软件,打印机共享,工作组的历程安排,电子右键和传真通信服务等功能呢,内网是封闭的,她可以办公室内俩太计算机组成,也可以由一个公司几千台计算机组成。例如银行,学校,企业工程,政府机关,单位办公网等。【内网就是局域网】
工作组:在一个大的单位内,可能有成百上千台电脑互联而成的局域网,他喵都会列在“网络(网络邻居)”内,如果这些电脑不分组,可想而知会多混乱,要找到一台电脑是很困难的,为了解决这个这个问题,出现了工作组的概念,将不同的电脑按功能或者部分分别列入不同的工作组中,如技术部的电脑都列入技术部的工作组中,行政部的电脑都列入行政部的工作组中。你要访问某个部门的资源,就在“网络”里找到那个部门的工作组名,然后就可以查看了,这对大型局域网来说是方便很多。【工作组就是分类电脑,方便你找到你要找的电脑的】
域:域是一个有安全边界的计算机集合(安全边界指俩个域中,一个域中的用户无法访问域中的另一个资源),可以简单理解成升级版的工作组,相比较工作组它有一个更加严格的安全管理机制,如果你相访问域内的资源,必需拥有一个合法的身份登入到改域中,而你对该域内的资源拥有什么样的权限取决于你在该域中的身份。【域相对工作组来说,又是一个分类,或者说区别,以划定身份设置权限来,目的就是分配好访问权限】
域的分类:单域,父域,子域,域树,域森林,DNS域名服务器
单域:在一般有固定位置的小公司里,建立一个域就可以满足所需。一般在一个域内要及案例至少俩哥哥域服务器,一个作为DC,一个作为备份DC。如果没有备份DC,一旦DC瘫痪,则域内的其他用户就不能登入该域,因为活动目录(AD)是储存在DC中的。而备份域控制器(BDC)能备用。【一个域至少要俩DC(域控制器)】
父域和子域:处于管理或者其他需求,需要在网络中划分多个域,第一个域作为父域,其他称为这个域的子域。比如一个大公司,它的不同分公司在不同的地理位置,则需要父域和子域这样的结构。如果叭不同地理位置的分公司放在一个域内,那么题目之间的信息交互(包括同步,复制等)花费的时间长而且占用的带宽也大。(因为在同一个域内,信息交互的条目是很多的,而且不压缩,而在域和域间,信息交互相对少且压缩)还有一个好处是,子公司可以通过自己的域来管理自己的资源。还有一种情况是出于安全策略的考虑,因为每一个域都有自己独有的安全策略。比如一个公司的财务部门希望能使用特定的安全策略(包括账号密码策略等),那么可以将次啊五部分做成一个子域来单独管理。【上述很奇怪,但理解起来就是域中域,子域被包含在父域中。目的是减少因为地理位置的通信消耗,方便管理,安全策略】
域树:域树指若干个域通过及案例信任关系组成的集合。一个域管理员只能管理本欲的内部,不能访问或者管理其他的域,俩个域之间相互访问则需要建立信任关系。信任关系是链接在域于域之间的桥梁。域树内的父域和子域之间不但可以按需求要相互进行相互管理,还可以跨网分配文件和打印机等设备资源,使不同域之间实现网络资源的共享于管理,以及相互通信的数据传输。【又是很奇怪的描述方式,这里应该是说域中域形成的父子,是相对的,也就是说域中域多,就形成了树,只是因为域的特性就是隔离的所以需要所谓的信任关系来相互管理】
域森林:指若干个域树通过建立信任关系组成的集合。【直接理解成多颗树就行,和父子不同,他们是平行的】
DNS域名服务器:DNS域名服务器就是把域名和对应的IP地址转换的服务器。在域树的介绍中的域的名字和DNS的域的名字非常相似,其实就是域的名字可以看出DNS域的名字,因为域中的计算机使用DNS来定位域控器(DC),其他服务器,计算机和服务等。一般来说DC和DNS服务在同一台机器上。【DNS和DC一般在一台机子上,DNS的作用就是转换域名和IP地址,目的就是方便找机子】DNS详解
活动目录(Active Directory):是域环境中提供目录的组件。目录是什么?目录就是储存有管网络对象(如用户,组,计算机,共享资源,打印机,联系人等)信息。目录服务就是帮助用户快速准确的从目录中查找到她所需要的信息的服务。如果将企业的内网看成一本书,那么内网的资源就是书的内容,活动目录就是目录页。即活动目录储存网络资源的快捷发过誓,用户通过快捷方式定位资源。【就是一本书的目录,方便你找到你要找的服务(区别域DNS是找机子,这个是找服务)】
逻辑结构:在活动目录中,管理员可以完全忽略被管理对象的具体地理位置,而将这些对象按照一定的方式放置在不同的容器中。由于这种组织对象的做法不考虑被管理对象的具体地理位置,这种组织的框架被称为逻辑结构。【可以相对理解其实是存在物理结构的,即机子正真放在的地方,但是我们分类东西肯定是按机子里面放的服务来分类,这就是为什么需要活动目录和DNS服务器了,按流程来说我们应该是先通过DNS服务找到某域的机子,然后在这台机子上看AD找在这个域对应提供服务的机子】
活动目录的主要功能:【集中管理(软件,资源,扫毒等),可基于活动目录开拓其它功能】
账号集中管理,所有账号均在服务器上,方便对账号的管理。
软件集中管理,统一推送软件,统一安装打印机等。利用软件发布策略分发软件,让用户自由选择安装软件。
环境集中管理,利用AD可以统一客户端桌面,IE,TCP/IP等设置
增加安全性,统一部署杀毒软件和扫毒任务,集中化管理用户的计算机权限,统一定制用户的密码策略,课监控网络,资料统一管理。
更可靠,更少的宕机时间。如利用AD控制用户访问权限,利用群集,负载均衡等技术对文件服务器镜像容灾设定
活动目录是Microsoft统一管理的基础平台,其他ISA,exchange,SMS等服务都依赖这个基础平台
AD和DC的区别:如果网络规模较大,我们会考虑把网络中的众多对象,如计算机,用户,用户组,打印机,共享文件等,分门别类,井然有序的放在一个大仓库,并做好检索信息,方便以后的查找和管理这些东西。有这个层次结构的数据库,就是目录数据库,也就是AD。那么我们应该把这个数据库放在哪台计算机上呢?一般来说放有活动目录数据库的计算机就被称为DC。所以说我们要实现域环境,其实就安装AD。【搭建域环境的本质就是安装AD,安装有AD的计算机就是DC】
安全域划分:安全域划分的目的就是将一组安全等级相同的计算机划入同一个网段内,这一网段内的计算机拥有相同的安全边界,在网络边界上采用防火墙部署来实现对其他安全域的NACL(网络访问控制策略),允许哪些域,哪些IP/网段能访问,使得风险最小化,当发生攻击时可以将威胁最大化隔离,减少对域内的计算机的影响。【域的能隔离彼此的本质就是靠访问控制策略】
DMZ区:DMZ称为隔离区,非军事化区。是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。
缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以安置一些必需公开的服务器设施,如企业web服务i去,ftp服务器和论坛等。
另一方面,通过这样的一个DMZ区域,更加有效的保护内部单网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡
DMZ的屏障功能:
内网可以访问外网:内网的用户可以自由访问外网,在这一策略中,防火墙要执行NAT【就是你上网的时候你的真实IP和对外来说看到的IP不一样】
内网可以访问DMZ:目的就是内网用户管理DMZ区
外网不能访问内网:防火墙的基本策略,如果从外面要访问里面应该要架设VPN
外网可以访问DMZ区:DMZ区中的服务器就是专门对外提供服务的,所以外网访问DMZ理所应当。
DMZ区不能访问外网:目的应该是防止DMZ区被攻击了,然后往外通信导入恶意的操作。也有例外就是DMZ放置邮件服务器时,需要访问外网,不然怎么把邮件发送出去。【联想一下webshell】
A-G-DL-P策略,域本地组,全局组,通用组的理解和关系:详细
域本地组: 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。【不能被包含到其他组,主要作用是授予权限】
全局组:只能在创建该全局组的域上进行添加用户账户和全局组,但全局组可以嵌套在其他组中。
可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的通用组和域本地组中(注意这里不能它加入到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。虽然可以利用全局组授予访问任何域上的资源的权限,但一般不直接用它来进行权限管理。【可以被包含到其他组,作用是拿来间接授予权限】
通用组:通用组是集合了上面两种组的优点,即可以从任何域中添加用户和组,可以嵌套于其他域组中。【蒙多:想去哪就区哪!~】
A-G-DL-P策略:【再本域内把建立DL把某权限给DL,其他域需要前者域的某权限时,自己建立了个G然后把G加入前者域的DL中,A的意思应该就是用户在DL或者G中不同组中对应不同的权限】
A(account):用户
G(Global group):全局组(全局组和通用组的权限:Domain Admins 域管理员组,Enterprise Admins 企业系统管理组,Schema Admins 架构管理组,Domain Users 域用户组)
DL(Domain local group):域本地组(域本地组的权限:Administrators(管理员组),Remote Desktop Users(远程登入组),Print Operators(打印机操作组),Account Operators(账号操作组),Sever Operators(服务器操作组),Backup Operators(备份操作组))
P(permission):资源许可证(权限)
比如: 有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。这时,可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。
这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员!这就是A-G-DL-P。
注:A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
本地域组的成员可以来自所有域的用户和组,但其作用域只能是当前域。全局组的成员只能来自当前域的用户和组,而作用域可以是所有的域。
本地域组的权利是自身的,全局域的权利是来自其属于的本地域组的。
