域内用户与机器用户

域内用户与机器用户

机器用户

打开ADExplorer查看域内 computer

看到属性computer 是user的子类,继承user类的属性。而域用户是user类的实例。域用户该有的属性,计算用户都有,可以说,机器用户就是一种域用户。

本地用户SYSTEM就对应于域内的机器用户,在域内的用户名就是机器名+$,比如VSAN1这台机器,域内登录名是VSAN1$

所以可以将当前用户提到system,能充当机器用户,即域内用户权限。

查找域内所有机器

AdFind.exe -f "(objectcategory=computer)" -dn

查询dc

AdFind.exe -sc dclist -dn

域用户账户与机器用户的对应关系

在默认情况下域普通用户能登录域内任意普通机器。

限制域内用户登录

登录查看server 08机器,打开本地安全策略—>运行本地登录

默认会将user组配置在里面,运行user组进行登录,user组中就包含了Domain Users。所以域内成员默认都能登录域内任何一台机器。

在域用户做限制

在配置domain user属性——>账户-->登录到 中添加该用户可登录机器

机器做限制

在iis08机器上做限制,打开本地安全策略-> 允许本地登录 将user进行删除,只运行administrator进行登录

查找域内用户能够登录的主机

限制了域用户只能登录到某台主机之后,在LDAP里面,会设置一个字段,userWorkStation。这个字段保存了这个域用户只能登录到某台机器。

我们可以通过读域用户的userWorkStation来查看域用户限制登录到那一台机子。

比如这里的test用户只能登录到iis08机器上。

查看域用户正在登陆的主机

PsLoggedon64.exe \\dc01

查看正在dc01正在登录的域用户给

netsess.exe

netsess.exe \\dc01

PVEFindADUser.exe

PVEFindADUser.exe -current  

可以用于查找活动目录 用户登录位置、枚举用户 、以及查找特定计算机登录用户

、包括本地用户 、通过rdp 登录的用户 、运行服务和计划任务的用户

运行条件: .net 2.0 、管理员权限

-current: 获取计算机当前登录的所有信息

查找域用户登录过的机器

可以拉取windows的登录日志

wevtutil epl Security c:\windows\logs\1.evtx /q:"*[EventData[Data[@Name='LogonType']='3'] and System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 4449183132]]]"

提取日志

LogParser.exe -i:EVT -o:CSV "SELECT TO_UPPERCASE(EXTRACT_TOKEN(Strings,5,'|')) as USERNAME,TO_UPPERCASE(EXTRACT_TOKEN(Strings,18,'|')) as SOURCE_IP FROM 1.evtx" >log.csv

Reference

https://daiker.gitbook.io/windows-protocol/ldap-pian/10

posted @ 2022-03-01 02:10  nice_0e3  阅读(1732)  评论(0编辑  收藏  举报