常见的内网结构

常见的内网结构

1.工作组

工作组概念

工作组(Work Group)是内网中的一个结构,它通过最常见的资源管理模式实现网络资源共享。

是因为默认情况下,计算机都是采用工作组方式进行资源管理,将不同的电脑按功能分别列入不同的组中,以方便管理(默认所有的计算机都属于WORKGROUP工作组中,默认共享的是User目录)。工作组资源管理模式适合于网络中计算机不多,对管理要求不严格的情况。

特点是工作组中所有的计算机都是平等的,没有管理与被管理之分,因此工作组网络也称为对等网络。

工作组访问

文件夹→网络,就可以看到和你同处在一个工作组中的其他计算机,如果要访问其中的某台计算机,直接点击它,然后输入该主机的用户名和密码即可访问共享的目录。

工作组的加入和退出

工作组加入

计算机→属性→更改设置→更改→加入一个WORK GROUP(可输入已存在的工作组名称,如果你输入的工作组名称网络中没有,代表新建一个WORK GROUP并加入其中)→重新启动即可

image

工作组退出

和工作组加入一样,只要将工作组名称写空或者写成任意一个别的工作组即可退出

优点

计算机通过工作组进行分类,使我们访问的资源结构化更强。工作组情况下资源可以一定随机和灵活的分布,工作组资源管理模式适合于网络中计算机不多,对管理要求不严格的情况。它的加入\退出和访问都非常简单,能够更方便地实现资源共享,管理员只需要实施简单的维护。

缺点

缺乏集中管理与控制的机制,没有集中的统一帐户管理,没有对资源实施更加高效率的集中管理,没有实施工作站的有效配置和安全性严密控制。只适合小规模用户的使用。

2.域

域中相关概念有域、域树、域林、根域

可以简单的理解成工作组的升级版,域对于加入和退出有严格的控制,由至少一台服务器负责每一台联入网络的电脑和用户的验证工作,这个服务器称为"域控"(Domain Controller)。

域树

父域与子域:子域就是指在一个域下又创建的一个域

域树也不难理解,由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间

比如 Bj.contoso.com 和 sh.contoso.com 就是 contoso.com的子域,他们的命名是连续的,这种结构就叫做域树

image

域林

域林是指由一个或多个没有形成连续名字空间的域树组成,如下图的结构

contoso.com 和 seattle.com 这两个域树就组成了一个域林。

域林中的所有域树仍共享同一个表结构、配置和全局目录。

域林中的所有域树通过Kerberos 信任关系建立起来。

image

根域

其中 contoso.com这个域树是我们第一个创建的域树,整个域林中所创建的第一个域就是根域

而根域在整个域林中的地位、优先级、重要性、针对其他域的可制约性都是很强大的。而且在一个域林中只能有一个根域。

3.AD(Active Directory)

Active Directory

AD(Active Directory)中文翻译为活动目录,是微软Windows Server中,负责架构中大型网路环境的集中式目录管理服务,它处理了在组织中的网路物件,物件可以是计算机,用户,群组,组织单元(OU)等等,只要是在AD结构定义中定义的物件,就可以储存在AD资料文件夹中。

如果将企业的内网看成是一本字典,那么内网里的资源就是字典的内容, AD就相当于字典的索引。即活动目录存储的是网络中所有资源的快捷方式,用户通过寻找快捷方式而定位资源。

AD作用

AD微软构建这样的一个服务它的意义何在?可以分为以下几个方面来了解:

1.用户服务

管理用户的域账号、用户信息、企业通信录(与电子邮箱系统集成)、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用,更多的是指真实的计算机,服务器等。

2.计算机管理

管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。

3.资源管理

管理打印机、文件共享服务、网络资源等实施组策略。

4.应用系统的支持

对于电子邮件、在线及时通讯、企业信息管理等业务系统提供数据认证(身份认证、数据集成、组织规则等)

5.客户端桌面管理

系统管理员可以集中的配置各种桌面配置策略,如:用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。

AD域架构常用对象

1.域(Domain)

域是AD的根,是AD的管理单位。域中包含着大量的域对象,如:组织单位,组,用户,计算机,联系人,打印机,安全策略等。

2.组织单位(Organization Unit)

组织单位简称为OU是一个容器对象,可以把域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位可以包含下列类型的对象:用户,计算机,工作组,打印机,安全策略,其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。

3.群组(Group).

群组是一批具有相同管理任务的用户账户,计算机账户或者其他域对象的一个集合。

群组类型分为两类:

  1.安全组:用来设置有安全权限相关任务的用户或者计算机账户的集合。

  2.通信组:用于用户之间通信的组,适用通信组可以向一组用户发送电子邮件。

4.用户(User)

AD中用户是最小的管理单位,域用户最容易管理又最难管理,如果赋予域用户的权限过大,将带来安全隐患,如果权限过小域用户无法正常工作。

域用户的类型,域中常见用户类型分为:

  普通域用户:创建的域用户默认就添加到"Domain Users"中。

  域管理员:普通域用户添加进"Domain Admins"中,其权限升为域管理员。

  企业管理员:普通域管理员添加进"Enterprise Admins"后,其权限提升为企业管理员,企业管理员具有最高权限。

4.DMZ(DeMilitarized Zone)

DMZ,也称"非军事化区",可以理解为缓冲区,这个设计出来主要是为了解决基于代理型防火墙的“单点故障”问题,也就是攻破防火墙后,内网大门敞开的问题。

DMZ 区可以理解为一个不同于外网或内网的特殊网络区域。

DMZ 内通常放置一些不含机密信息的公用服务器,来自外网的访问者只可以访问 受限的DMZ 中的服务,但不可能接触到存放在内网中的信息等,即使 DMZ 中服务器受到破坏,内网依旧不受影响。

5.A-G-DL-P策略

首先搞明白本地组与全局组的概念

域本地组

域本地组主要用来指派在其所属域内帐户的访问权限,以便访问该域的资源。域本地组织只能够访问同一个域内的资源,无法访问其它不同域内的资源。也就是说,当在某台计算机上设置权限时,可以设置同一个域内的域本地组的访问权限,而无法设置其它域内的域本地组的权限。

如企业现在有两个公司,总公司与分公司,分属于不同的域。其中员工李某与周某,分别属于总公司与分公司。

现在就拿分公司这个域来说,我们可以在这个域中建立一个本地组。有时会,总公司的员工李某来分公司视察的时候,需要访问分公司的网络资源。如此的话,我们就可以把李某加入到分公司这个域的本地组,这是可以的,因为域本地组可以把其它域的用户加入到本地组中。但是,分公司这个域本地组是没有权限,把自己域内的用户,如周某加入到总公司的域本机组中去。

全局组

全局组主要是用来组织用户。也就是说,我们在权限管理中,可以把根据权限的不同对用户进行分组,让权限相同的用户帐户归属于同一个全局组。全局组可以访问任何一个域内的资源,即可以在任何一个域内设置全局组的访问权限。也就是说,可以把全局组认为没有域的限制,你在A域中设立全局组,然后可以在 B域中对其访问权限进行修改。

A-G-DL-P策略

A表示用户账号,G表示全局组,DL表示域本地组,P表示资源权限。

这个策略的意思就是先建立用户帐户,然后把根据帐户的访问权限不同把它加入到不同的全局组中,然后再把全局组加入到域本地组中,最后设置域本地组的权限。如此的话,域中的任何一个用户只要针对域本地组来设置访问权限,则出于该域本地组中的全局组中的所有用户,都适用刚才设置的访问权限。

posted @ 2021-11-26 16:25  0xL4k1d  阅读(662)  评论(0编辑  收藏  举报