[na]pc加入域认证细节
这也是以前好奇,因为学生时候,经常机房上网, 对一些譬如.. 现在看来很low了. 是小作坊式的技术, 真正上不了台面的.扛不住生产的压力.
ftp共享
计算机统一管理等
无盘/网克等特别好奇
计算机组织的两种形式
加入办公网络里有200多台pc,如果各个独立的上网互不干扰. 这种也挺方便,不用任何管理.是工作组模式
1,工作组(默认, 无法统一管理,无法统一身份验证)
2.域 (统一管理系统)
win权限分配机制
管理本地用户: 一般我们都是ghost下载安装使用administer来登录上网的. 无感知,傻瓜化. 无需新建普通用户之类的.
新建用户-加入管理员组。
针对文件夹基于(用户组)设置权限
用户SID:
创建一个用户时候,每个用户都有一个SID(创建用户的时候系统分配),以及用户组的SID。
whoami
whoami /all
USER INFORMATION
----------------
User Name SID
======================== ============================================
kali-linux\administrator S-1-5-21-2634792176-1660416105-649526453-500
给普通用户分配权限:
默认普通用户登录计算机权限有限。
实操sid实验:
工作组中的计算机访问ftp: 1,ftp查看有没有该clinet的登陆名密码(镜像帐号优先,使用该client自身帐号) 2,其次ftp服务器的账号密码。 存在的安全隐患: 不安全: \\10.1.1.10\C$ 共享ftp: 访问的ftp时候 计算机名\用户名 工作组账号: 先用镜像账号访问 删除镜像账号 使用普通用户访问-无权限进入文件夹 ftp文件授予用户权限。正常访问。(共享文件夹)
四、域账号
DC:安装活动目录的AD
DC计算机:domain controller
A加入DC:
A和DC建立信任密钥(40多天)
所有登陆名都是在DC上创建的
信任丢失
原因:还原计算机
A用域帐号登陆自身计算机:netlogon服务
1,共享密钥加密 uname&密码
2,DC收到,发放uname对应的sid和gid,和DC自己的密钥加密的sid和gid(用与A访问别人)
3,DC将构造好的两组sid发给A
4,A登陆计算机
A用域用户访问B:
1,A将访问B的消息给DC,且附上A的DC'sid gid
2,DC知道A要访问B了,将sid和gid用B的共享密钥发给A
3,A可以访问B。
如果找不到DC了,A也可以登陆B,因为A非首次认证。此种情况下,可以设置A能登陆B的次数,可以设置0次,5次等。 如果A从未登陆过C,那如果DC丢失了,A就没法登陆C。 win如何识别本地账号还是远程账号登陆? Aserver/lanny 本地账号(本地计算机名) lanny.com/lanny 域账号
一、计算机组织形式 工作组 域 二、win权限分配: 看用户的SID: whoami /all 用户名 SID ======================== ========================================== kali-linux\administrator S-1-5-21-441794639-476939098-201153909-500 三、工作组中计算机 实操sid实验: 工作组中的计算机访问ftp: 1,ftp查看有没有该clinet的登陆名密码(优先) 2,其次ftp服务器的账号密码。 存在的安全隐患: 不安全: \\10.1.1.10\C$ 共享ftp: 访问的ftp时候 计算机名\用户名 工作组账号: 先用镜像账号访问 删除镜像账号 使用普通用户访问-无权限进入文件夹 ftp文件授予用户权限。正常访问。 四、域账号 DC:安装活动目录的AD DC计算机:domain controller A加入DC: A和DC建立信任密钥(40多天) 所有登陆名都是在DC上创建的 信任丢失 原因:还原计算机 A用域用户登陆自身计算机:netlogon服务 1,共享密钥加密 uname&密码 2,DC收到,发放uname对应的sid和gid,和DC自己的密钥加密的sid和gid(用与A访问别人) 3,DC将构造好的两组sid发给A 4,A登陆计算机 A用域用户访问B: 1,A将访问B的消息给DC,且附上A的DC'sid gid 2,DC知道A要访问B了,将sid和gid用B的共享密钥发给A 3,A可以访问B。 如果找不到DC了,A也可以登陆B,因为A非首次认证。此种情况下,可以设置A能登陆B的次数,可以设置0次,5次等。 如果A从未登陆过C,那如果DC丢失了,A就没法登陆C。 win如何识别本地账号还是远程账号登陆? Aserver/lanny 本地账号(本地计算机名) lanny.com/lanny 域账号