我们已经知道,通过在dc上创建新用户,新用户就可以登录连接到域的计算机。问题是,使用dc中的用户名登录到计算机后,是否对该计算机拥有完全控制权限呢?


答案是不行的。


我们既希望用户能对自己的电脑拥有完全控制权,但是又不希望将其域用户的权限提升到域管理员。我们应该怎样做呢?

我们知道,计算机是有本地管理员组的,我们能不能将域中的普通用户加入本地管理员组呢?

答案是可以的。

我们先使用域管理员身份登录该计算机。


#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_用户名

右键我的电脑--计算机管理--本地用户和组#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_右键_02


我们可以看到在组中,有一个是administrators组,这就是本地管理员组。我们双击查看他的属性

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_用户名_03

可以看到在该组中,存在三个成员,分别是Administrator(本地管理员)、liangkoong(我们本地创建的管理员)和xdf\domain admins(域管理员组)。

可以看到并没有qiang.li用户,这也说明了作为在dc中创建的qiang.li账户并不是本地管理员,他的权限是比较低的。

我们可以将其添加进本地管理员组。


#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_用户名_04

我们在输入框中直接输入qiang.li,点击检查名称,系统自动为我们补全。


#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_分配权限_05

这样,我们就将qiang.li这个dc中的普通用户添加进了本地管理员组。

然后我们注销登录,使用qiang.li账户来登录。

建议将域用户加入到普通成员机的本地管理员组中。

本地管理员组:administrators

域管理员组:domain admins

几个名词

1)OU:组织单位。origanazation unit

作用:用于归类域资源(域用户、域计算机、域组)。OU便于我们对大量的域资源进行归类和查找。比如IT部的所有计算机放入IT的OU中,财务部的所有计算机放入财务的OU中。我们可以把OU理解为一个容器,他的作用类似于组,都是用于分类的。组的意义在于为众多的用户统一分配权限,目的是赋权限,而OU的目的是为了下发组策略,通过为OU绑定组策略来统一限制用户。组策略的目的是为了对用户进行限制,如不让上网页,不让关机等。

OU的创建。

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_右键_06在dc中打开ad用户和计算机,在我们的域名上右键--新建--组织单位。

我们其实也可以将xdf.com下的所有文件夹都认为是OU,比如computers、domain controller、users等,它们都是相同组策略的集合。

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_右键_07

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_重启_08


OU是可以嵌套的,这也体现了组织架构的分层管理目的。我们将此前创建的李强同学的账号移动到IT部下,如果此后给IT部一个组策略,李强同学就会收到相应的影响。

我们不仅可以对用户进行这样的分类,同时也可以对域中的计算机进行相同的分类,在OU这个容器中,它们是平等的。建议将用户和他的电脑放在同一个OU中。

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_用户名_09


2)GPO:组策略。group policy

作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。

组策略在域中,是基于OU来下发的。组策略在域中下发后,用户的应用顺序是LSDOU(local--site--domain--ou,即如果同时有local和ou的策略,那么以ou的策略为准)。需要注意的是组策略本身与域是没有关系的,本地也有组策略。


我们打开开始菜中--管理工具--组策略管理。

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_分配权限_10

在xdf.com中,存在两个OU,分别是domain controllers和我们创建的新东方。

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_右键_11在此界面中,组策略表有

default domain policy,这是全局默认的组策略表。修改它能对整个域的计算机起作用。

default domain controllers policy,这是域控的默认的组策略表。修改它能对所有dc起作用。

我们可以手动为新东方这个OU建组策略。

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_普通用户_12

一般我们给GPO的名称与其对应OU一致。

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_分配权限_13

我们可以为每一个OU都贴一张GPO

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_重启_14


我们对GPO的第一个需求是定制企业桌面背景,我们希望所有加入企业域中的计算机的桌面背景都是企业logo。

我们右键新东方这个GPO,点击编辑。

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_右键_15


出现了组策略管理编辑器。

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_重启_16

其中计算机配置是对该OU中所有计算机进行配置,对计算机生效,而用户配置就是对OU中所有用户进行配置,对用户生效。毕竟这是两种不同的实体。理论上,对于用户的策略修改,注销用户再登录就会生效,对于计算机的策略修改,重启计算机才会生效。

我们打开用户配置--策略--管理模板--桌面--active desktop,可以看到右侧有很多条目,每一条都是一条策略,每一条策略对应一个状态,状态一般有三种,默认状态(未配置)、启用和禁止。我们可以看到桌面墙纸。

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_用户名_17


我们进行修改,注意需要写网络路径。同时将share该文件夹的共享权限中添加domain users组的读权限。

#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_用户名_18

我们在windowsxp进行验证。重启或者注销登录。发现成功。


我们可以在dc的gpo中查看具体的策略应用情况。


#yyds干货盘点# web安全day10:通过实验理解windows域的OU和GPO_用户名_19