简介

本文相关的TryHackMe实验房间链接：https://tryhackme.com/room/winadbasics

Microsoft 的Active Directory 是企业界的支柱。它简化了企业环境中设备和用户的管理。在这个房间中，我们将深入探讨 Active Directory 的基本组件。

在这个房间中，我们将了解 Active Directory 并熟悉以下主题

• Active Directory(活动目录)是什么？
• Active Directory域是什么？
• Active Directory域中的组件有哪些？
• 森林(Forests)和域信任介绍。
• And much more!

Windows 域

想象一下您正在管理一个只有五台计算机和五名员工的小型企业网络。在如此小的网络中，您可能能够毫无问题地单独配置每台计算机。您将手动登录每台计算机，为使用它们的人员创建用户，并为每个员工的帐户进行特定配置。如果用户的计算机停止工作，您可能会去他们的地方并现场修复计算机。

虽然这听起来像是一种非常轻松的生活方式，但让我们假设您的业务突然增长，现在拥有 157 台计算机和分布在四个不同办公室的 320 名不同用户。您是否仍然能够将每台计算机作为单独的实体进行管理，为网络上的每个用户手动配置策略并为每个人提供现场支持？答案很可能是否定的。

为了克服这些限制，我们可以使用 Windows 域。简而言之，Windows 域是给定企业管理下的一组用户和计算机。域背后的主要思想是将 Windows 计算机网络的常见组件的管理集中到称为 Active Directory (AD) 的单个存储库中。运行 Active Directory 服务的服务器称为域控制器 (DC)。

配置 Windows 域的主要优点是：

• 集中身份管理：网络上的所有用户都可以轻松地从 Active Directory 进行配置。
• 管理安全策略：您可以直接从 Active Directory 配置安全策略，并根据需要将它们应用到网络上的用户和计算机。

A Real-World Example

如果这听起来有点令人困惑，那么您很可能已经在学校、大学或工作中的某个时刻与 Windows 域进行过交互。

在学校/大学网络中，您通常会获得一个用户名和密码，您可以在校园内的任何计算机上使用它们。您的凭据对所有计算机都有效，因为每当您在计算机上输入它们时，它都会将身份验证过程转发回 Active Directory，并在其中检查您的凭据。借助 Active Directory，您的凭据无需存在于每台计算机中，并且可以在整个网络中使用。

Active Directory 也是允许您的学校/大学限制您访问学校/大学计算机上的控制面板的组件。策略通常会部署在整个网络中，以便您对这些计算机没有管理权限。

实验任务介绍

在此任务中，我们将扮演 THM Inc. 新 IT 管理员的角色。作为我们的第一项任务，我们被要求检查当前域“THM.local”并执行一些其他配置。您将拥有预配置域控制器 (DC) 的管理凭据来执行任务。

Active Directory

任何 Windows 域的核心都是 Active Directory 域服务 (AD DS)。该服务充当目录，保存网络上存在的所有“对象”的信息。在AD支持的众多对象中，有用户、组、机器、打印机、共享等等。让我们看看其中的一些：

用户(Users)

用户是 ActiveDirectory 中最常见的对象类型之一，用户也是称为安全主体的对象之一，这意味着它们可以通过域进行身份验证，并且可以对文件或打印机等资源分配特权。可以说，安全主体是一个可以作用于网络中资源的对象。

用户可用于表示两种类型的实体:

• 人员: 用户通常可以代表公司等组织中需要访问内部网络的人员，比如公司的员工。
• 服务: 在AD域中可以定义用户帐户以供IIS或MSSQL等具体服务使用，每个特定的服务都需要使用一个用户身份来运行，但是服务用户不同于普通用户，服务用户通常只会拥有运行特定服务所需的权限。

机器(Machines)

机器(计算机)是Active Directory中的另一种类型的对象，对于加入Active Directory域的每台计算机而言，AD域都将创建一个对应的机器(计算机)对象。机器(计算机)也被认为是“安全主体”，并会像普通用户一样被分配一个帐户，此帐户通常在域内的拥有有限的权限。

机器(计算机)帐户本身可以成为被分配的计算机上的本地管理员，与任何其他帐户一样，如果你有相关的密码凭据，你就能够以计算机帐户身份登录到对应机器。

注意：初始机器(计算机)帐户密码会默认自动加载，一般由120个随机字符组成。

识别机器(计算机)账户相对容易，因为它们遵循特定的命名方案，机器(计算机)帐户名称是计算机的名称后跟一个美元符号。例如，名为 DC01的机器将对应一个名为 DC01 $的机器(计算机)帐户。

安全组（Security Groups）

如果你熟悉Windows系统，你可能知道我们可以定义用户组，以便将文件或其他资源的访问权限分配给整个组，而不是单个用户。这样能体现更好的可管理性，因为你可以将某个用户添加到现有组中，并且该用户将自动继承该组的所有特权。安全组也被认为是安全主体之一，它可以对局域网络中的资源拥有特权。

组可以同时具有用户和计算机作为成员，如果需要的话，组也可以包括其他组。

默认情况下，在可用于向用户授予特定权限的域中能够创建多个组，举个例子，下面是一个域中最重要的一些安全组：

你可以通过访问以下链接来获取关于默认安全组的完整列表：

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups

为了在Active Directory中配置用户、组、计算机，我们需要登录到DC(域控制器)，然后从开始菜单处运行“(Active Directory Users and Computers)”：

这将打开一个窗口，我们可以在其中看到域中存在的用户、组和计算机的层次结构，这些对象将在组织单元(OUs)中被组织起来，组织单元(OUs)是允许我们对用户和计算机进行分类的容器对象。

OU主要用于定义具有类似策略要求的用户集合，例如：在一个域中，销售部门人员与IT部门人员可能各自应用不同的策略集。

注意：一个用户同时只能是一个OU的成员。

检查我们的实验机器，我们可以看到已经有一个名为THM的OU(组织单元)，它有四个子OU：IT、Management、Marketing和Sales departments。

我们可以看到实验机器上的OU所模仿的企业业务结构非常典型，这允许我们有效地部署适用于整个部门的基线策略。

OU在大多数情况下会使用预期的业务模型构建，我们也可以任意定义OU，例如：可以随意右键单击THM OU，并在其下创建一个新的子OU，名为Students。

如果打开任何 OU，您可以看到它们包含的用户并执行简单的任务，例如根据需要创建、删除或修改它们。如果需要，您还可以重置密码（对于帮助台非常有用）：

你可能已经注意到，除了THMOU 之外，还有其他默认容器，这些容器通常由Windows自动创建，包含以下内容：

• Builtin（内置）：包含可用于任何Windows主机的默认组。
• Computers（计算机）：任何加入网络的机器都会默认放在这里，如果需要，你可以移动它们。
• Domain Controllers（域控制器）：包含网络中的DC的默认OU（组织单元）。
• Users（用户）：应用于域范围上下文的默认用户和组。
• Managed Service Accounts（服务管理账户）：保存Windows域中服务 使用的帐户。

安全组与OUs的比较（Security Groups vs OUs）

你可能想知道为什么在AD中会同时有组和OUs(Organizational Units组织单元)的概念，虽然这两者都用于对用户和计算机进行分类，但它们的目的完全不同：

• OUs可以方便地将策略应用于用户和计算机，其中包括根据用户在企业中的特定角色而适用于用户集的特定配置。请记住，一个用户一次只能是一个OU的成员，因为尝试对一个用户应用两套不同的策略是没有意义的。
• 另一方面，安全组则用于授予用户对资源的权限，例如，如果希望允许某些用户访问共享文件夹或网络打印机，则将会使用组。一个用户可以是许多组的成员，这是授予某一用户对多个资源的访问权限所必需的。

管理AD域中的用户

因为最近公司业务上发生了一些变化，作为公司新的域管理员，你的第一个任务是检查现有的 AD域OU（组织单元） 和用户。假设你已收到以下的组织结构图，你的工作是对AD（活动目录）作出相应的修改：

删除多余的OU（组织单元）和用户

您应该注意到的第一件事是，您当前的 AD 配置中有一个额外的部门 OU，该部门未出现在图表中。我们被告知它由于预算削减而关闭，应该从域中删除。如果您尝试右键单击并删除 OU，您将收到以下错误：

默认情况下，OU 受到保护，不会被意外删除。要删除 OU，我们需要启用“视图”菜单中的“高级功能”：

这将向您显示一些其他容器，并使您能够禁用意外删除保护。为此，请右键单击 OU 并转到“属性”。您将在“对象”选项卡中找到一个用于禁用保护的复选框：

请务必取消选中该框并再次尝试删除 OU。系统将提示您确认是否要删除该 OU，因此，该 OU 下的任何用户、组或 OU 也将被删除

删除多余的 OU 后，您应该注意到对于某些部门，AD 中的用户与我们组织结构图中的用户不匹配。根据需要创建和删除用户以匹配他们。

授予权限

在AD中还可以做的一件事就是将一些对 OU （组织单元）的控制权授予特定用户，这个过程称为授权，允许你授予用户特定的权限，以便用户在 OU 上执行高级任务，而无需域管理员介入。

最常见的用例之一是授予 IT支持（ IT support）重置其他低权限用户密码的权限，根据我们的组织结构图，菲利普负责 IT 支持，所以我们可能想把重置密码的控制权交给他，而不是销售、营销和管理部门。

在本例中，我们将把销售 OU 的控制权委托给用户Phillip，若要授权对 OU 的控制，可以右键单击该OU并选择“授权控制”（ Delegate Control）:

这将打开一个新窗口，在该窗口中，你将首先被要求 选择向哪些用户授予控制权:

注意: 为了避免输错用户名，请输入“phillip”并单击 Check Names 按钮，Windows 将为你自动检测该用户。

单击“确定”，然后在下一步中选择以下选项:

单击“下一步”几次，现在 Phillip 应该能够为销售部门中的任何用户重置密码。虽然您可能希望重复这些步骤来委派营销和管理部门的密码重置，但我们将把它留在这里来完成此任务。如果您愿意，您可以继续配置其余的 OU。

管理AD域中的计算机

默认情况下，所有加入域的机器(DC 除外)都将放在名为“ Computers”的容器中，当我们检查我们的 DC（域控制器）时，我们将看到一些设备已经在那里:

我们可以在我们的局域网络中，看到一些服务器，一些笔记本电脑和一些个人电脑对应的用户，把我们所有的设备都放在“Computers”容器中并不是一个好主意，因为你很可能希望为你的服务器和常规用户每天使用的机器制定不同的策略。

虽然没有关于如何组织机器的黄金法则，但一个很好的起点是根据设备的使用情况对其进行隔离，一般来说，你看到的设备至少可以分为以下三类:

1.Workstations（工作站）

工作站是 Active Directory 域中最常见的设备之一，域中的每个用户都可能正在登录到一个工作站，这是他们用来完成工作或正常浏览活动的设备。这些设备永远不应该有特权用户登录进去。

2.Servers（服务器）

服务器是 Active Directory 域中第二常见的设备，服务器通常用于向用户或其他服务器提供服务。

3.Domain Controllers（域控制器）

域控制器是 Active Directory 域中第三个最常见的设备，域控制器允许你管理 Active Directory 域，这些设备通常被认为是网络中最敏感的设备，因为它们包含了环境中所有用户帐户的哈希密码

因为我们正在整理我们的AD域，让我们为 Workstations（工作站）和Servers（服务器）创建两个单独的 OU（组织单元），我们将直接在thm.local域容器下创建他们，最后，您应该具有以下 OU 结构：

策略

到目前为止，我们在OU中分配用户和计算机仅仅是为了符合组织关系，但是这背后的主要思想是为了能够给每个OU单独部署不同的策略，通过这种方式，我们可以根据用户的部门向他们推送不同的配置和安全基线。

Windows通过组策略对象(Group Policy Objects-GPO)管理不同策略。GPO只是一组可以应用于OU的设置集合，GPO可以包含针对用户或计算机的策略，也允许你设置特定计算机和身份的基线。

要配置GPO，可以使用组策略管理工具(可从开始菜单处打开) :

当打开它时，你首先看到的是完整的OU层次结构，如前所述，要配置组策略，首先在组策略对象下创建一个GPO，然后将其链接到希望应用策略的GPO。你可以看到你的计算机中已经存在的一些GPO:

我们可以在上图中看到，页面中已经创建了3个GPO，在这些策略中，默认域策略(Default Domain Policy)和 RDP 策略(RDP Policy)已经作为一个整体 链接到 thm.local域，默认域控制器策略(Default Domain Controllers Policy)则链接到域控制器(Domain Controllers)OU。需要注意的一点是，任何GPO都将适用于所链接的OU及其下的任何子OU。例如，Sales OU 会受到默认域策略（Default Domain Policy）的影响。

让我们检查默认域策略(Default Domain Policy)，看看 GPO 中有什么，选中GPO，你看到的第一个选项卡显示了它的作用域，这是AD域中建立GPO链接的地方。对于当前策略，我们可以看到它只链接了thm.local域：

如你所见，你还可以对 GPO 应用安全过滤(Security Filtering)，以便它们只应用于 OU 下的特定用户/计算机，默认情况下，这些GPO将应用于“身份验证用户”(Authenticated Users)组，该组包括所有用户/个人电脑。

GPO中的Settings 选项卡包含 GPO 的实际内容，能够让我们知道GPO应用的具体配置，如前所述，每个 GPO 都有仅适用于计算机的配置和仅适用于用户的配置。在下面这种情况下，默认域策略(Default Domain Policy)只包含计算机配置:

请随意浏览 GPO 并使用每个配置右侧的“ show”链接展开可用项目，默认域策略（Default Domain Policy）会显示应该适用于大多数域的真正基本的配置，包括密码和帐户锁定策略:

由于这个 GPO 适用于整个域，所以对它的任何更改都会影响所有计算机。我们尝试更改最小密码长度策略，要求用户的密码中至少有10个字符，右键单击 GPO 并选择 Edit即可进行修改：

这将打开一个新窗口，我们可以在其中导航和编辑所有可用的配置。如果要更改最小密码长度，可访问计算机配置-> 策略-> Windows 设置-> 安全设置-> 帐户策略-> 密码策略，最后更改所需设置的策略值：

正如你所看到的，在GPO 中可以建立许多策略，如果需要了解更多关于这些策略的信息，你可以双击它们并阅读每个策略的解释 （Explain）标签:

GPO的分发和同步

GPO通过一个名为 SYSVOL 的共享网络分发到局域网络中，该共享网络存储在 DC 中，在域中的所有用户通常都能够通过局域网络访问此共享，以定期同步其 GPO设置。SYSVOL 共享点默认指向我们网络中每个 DC 上的C:\Windows\SYSVOL\sysvol\目录。

一旦你对任何 GPO 的设置进行了更改，计算机可能需要2个小时才能实现信息同步，如果你想要强制任何特定计算机立即同步其 GPO设置，你可以在需要立即同步GPO的计算机上运行以下powershell命令：

1

PS C:\> gpupdate /force

为THM公司创建一些GPO

作为我们新工作的一部分，我们的任务是创建一些GPO，使我们能够:

1. 阻止非 IT 用户访问控制面板。
2. 让工作站和服务器在用户不活动5分钟后自动锁定屏幕，以避免人们暴露他们的会话。

让我们关注以上两个目标，并定义我们应该在每个 GPO 中启用哪些策略，以及它们应该在哪里相关联。

限制访问控制面板

我们希望将所有计算机上的控制面板的访问权限 设置为只对 IT 部门的用户进行开放访问，其他部门的用户不应该能够更改系统的首选项。

让我们创建一个名为“限制控制面板访问”（Restrict Control Panel Access）的新 GPO，并打开它进行编辑，因为我们希望这个 GPO 适用于特定的用户，我们将在用户配置（User Configuration）下寻找以下策略:

注意，我们已经启用了“禁止访问控制面板和PC设置”（Prohibit Access to Control Panel and PC settings ）策略。

一旦 GPO 配置完毕，我们需要将它链接到 哪些不应该拥有访问PC 控制面板权限的用户所在的OU ，我们把 GPO 拖动到每个组织单元（OU）来链接市场部、管理部和销售部:

自动锁屏GPO

关于工作站和服务器的屏幕锁定的GPO，我们可以直接将其分别应用于前面创建的工作站、服务器和域控制器的 OU 上。

虽然这个解决方案应该可以奏效，但是另一种方法是将 GPO 应用到根域，因为这样设置 GPO 就能影响所有计算机。由于工作站、服务器和域控制器 OU 都是根域的子 OU，它们将会自动继承根域的策略。

注意: 你可能会注意到，如果我们的自动锁屏 GPO 应用于根域，它也将被其他 OU (销售部或市场部)继承，由于这些 OU 只包含用户，因此 GPO 中的任何计算机配置都会被用户忽略，也就是说销售、市场这些OU中的用户并不会被自动锁屏策略所影响。

现在让我们创建一个新的GPO，命名为自动锁定屏幕（Auto Lock Screen），对它进行编辑，实现我们所希望的策略的设置界面如下（在计算机配置下寻找策略）:

我们将屏幕不活动时间限制设置为5分钟，如果任何用户让屏幕保持5分钟不活动，计算机就会自动锁定屏幕。关闭 GPO 编辑器后，我们把这个 GPO 拖动到根域来将其链接到根域:

一旦 GPO 被应用到正确的 OU 上，我们可以作为Marketing, Sales 或者 Management中的任何用户之一来登录验证这些GPO是否生效

AD域中的认证方式

使用 Windows 域时，所有凭据都存储在域控制器（DC）中，每当用户尝试使用域凭据对服务进行身份验证时，服务都将请求域控制器（DC）来验证该用户身份是否正确。

可以使用两种协议在 Windows 域中进行网络（身份）认证:

• Kerberos: 任一最新版本的 Windows 都能使用，这是任意最新域中的默认协议。
• NetNTLM: 为兼容性目的而保留的遗留身份验证协议。

虽然 NetNTLM 协议应该被认为是过时的，但是大多数网络都会同时启用以上两种协议，接下来让我们更深入地研究一下这些协议是如何工作的。

Kerberos 身份验证

Kerberos 身份验证是任何最新版本 Windows 的默认身份验证协议。使用 Kerberos 登录到服务的用户将获得票据。可以将票据视为以前身份验证的证据。持有票据的用户可以将票据提供给服务，以证明他们以前已经在网络中进行过身份验证，因此可以使用该服务。

当使用 Kerberos 进行身份验证时，会发生以下过程:

①用户的用户名和时间戳会被发送到密钥分发中心(KDC-Key Distribution Center) ，密钥分发中心通常安装在域控制器（DC）上，它（KDC）负责在网络上创建 Kerberos 票据。

KDC 将创建并发送一个 Ticket Granting Ticket (TGT) ，该 TGT 允许用户请求额外的票据以访问特定的服务。需要一张票才能获得更多票，这听起来可能有点奇怪，但是它允许用户每次连接到服务时无需传递凭据就可以请求服务票据。除了 TGT 之外，KDC还向用户提供了一个 Session Key，用户需要这个会话密钥来生成接下来的请求。

注意：TGT 是使用 krbtgt 帐户的密码哈希进行加密的，因此用户无法直接访问其内容。我们必须知道加密的TGT中包含了会话密钥（Session Key）的副本作为其内容的一部分，KDC 不需要存储会话密钥，因为它可以在需要时通过解密 TGT 来恢复一个会话密钥副本。

②当用户希望连接到网络上的服务(如共享、网站或数据库)时，他们将使用 TGT 请求 KDC 提供票据授予服务(TGS-Ticket Granting Service)。TGS会创建只允许连接到特定服务的票据。

要请求 TGS，用户需要发送 使用Session Key加密的用户名和时间戳，以及 TGT 和服务主体名称(SPN-Service Principal Name) ，后者（SPN）指示我们打算访问的服务和服务器名称。

作为回应，KDC 将向我们发送一个 TGS 和一个 Service Session Key，我们需要这个服务会话密钥对要访问的服务进行身份验证。TGS 使用从 Service Owner Hash 派生的密钥进行加密，Service Owner 是运行服务的用户或计算机帐户，TGS 在其加密内容上还包含了 Service Session Key的副本，以便 Service Owner 可以通过解密 TGS 来访问它（Service Session Key）。

③然后，TGS 可以被发送到用户所需的服务上，以验证和建立连接：该服务将使用其配置的帐户的密码hash来解密 TGS 并验证 Service Session Key（服务会话密钥）。

NetNTLM 身份验证

NetNTLM 使用挑战-响应机制工作，整个过程如下所示：

1. 客户机向它们想要访问的服务器发送身份验证请求。
2. 服务器生成一个随机数，并将其作为一个挑战发送给客户端。
3. 客户端将其 NTLM 密码hash与挑战(以及其他已知数据)组合在一起，以生成对挑战的响应，并将其发送回服务器进行验证。
4. 服务器转发这个挑战和（来自客户端的）响应给域控制器进行验证。
5. 域控制器使用挑战来重新计算响应，并将其与客户端发送的原始响应进行比较，如果它们全都匹配成功，则对客户端进行身份验证; 否则拒绝访问。身份验证结果会被发送回服务器。
6. 服务器将身份验证结果转发给客户端。

注意：为了安全起见，用户的密码(或哈希)从不通过网络传输，以上所描述的NetNTLM 验证过程适用于使用域中的帐户时，如果使用的是本地帐户，服务器可以验证对挑战本身的响应，而无需与域控制器进行交互，因为在它（服务器）的SAM文件中存储了本地的密码hash。

Trees, Forests and Trusts

到目前为止，我们已经讨论了如何管理单个域、域控制器的作用以及它如何连接计算机、服务器和用户。

随着公司的成长，他们的网络也在成长。对于一家小公司来说，拥有一个域名可能已经足够了，但是随着时间的推移，一些额外的需求可能会促使你需要拥有多个域名。

Trees（树）

想象一下，假如你的公司突然扩张到一个新的国家，新的国家可能有不同的法律法规要求你更新你的 GPO来遵守，此外，现在你的公司在两个国家都有 IT 人员，每个 IT 团队都需要管理与每个国家对应的资源，在管理过程中要确保不会干扰到另一个团队，虽然你可以创建一个复杂的OU结构，并使用授权来实现这一点，但是拥有一个庞大的AD（Active Directory ）结构可能很难管理，并且容易出现人为错误。

幸运的是，Active Directory 支持集成多个域，这样你就可以将网络划分为可以独立管理的单元。

如果有两个域共享相同的命令空间(在我们的示例中为thm.local) ，则可以将这些域联接到一个 Tree 中。

如果我们的 thm.local 域被分割成两个子域，分别用于 UK 和 US 分支，那么你就可以构建一个Tree（树），其根域为 thm.local，另外两个子域为 UK.thm.local 和 US.thm.local，每个子域都有自己的 AD、计算机和用户:

这种分区结构使我们能够更好地控制谁可以访问域中的内容，来自英国的 IT 人员将拥有自己的 DC，只管理英国的资源，英国用户无法管理美国用户。通过这种方式，每个分支的域管理员将完全控制其各自的 DC，而不是其他分支的 DC。我们还可以为树中的每个域单独配置策略。

在讨论树木和森林时，需要引入一个新的安全组—-Enterprise Admins。Enterprise Admins 组（企业管理组）将授予用户对企业所有的域的管理权限，每个域仍然拥有域管理员对其单个域有管理员权限而企业管理员则可以控制企业中的所有域。

Forests（森林）

你所管理的域也可以在不同的命名空间中配置。假设你的公司继续增长，并收购了另一家名为MHT Inc.的公司，当两家公司进行合并时，每个公司可能会有不同的域树，每个域树又由各自的IT部门进行管理，这就会将几个具有不同命名空间的域树合并到同一个网络中并形成域森林。

信任关系

在树和林中组织多个域可以让你在管理和资源方面有一个不错的分区网络。但在某个时刻，THM UK 的用户可能需要访问 MHT ASIA 服务器中的一个共享文件，为了实现这个操作，首先要把树和林中的域通过信任关系连接在一起。

简单地说，域之间的信任关系允许你授予来自THM UK域的用户有权限去访问来自MHT EU域的资源。

能被建立的最简单的信任关系是单向信任关系，在单向信任中，如果 Domain AAA 信任 Domain BBB，这意味着 BBB 上的用户可以被授权访问 AAA 上的资源:

单向信任关系的方向与有权访问的方向相反。

还可以建立双向信任关系，以允许两个域相互授权给来自对面域的用户，默认情况下，在树或林下连接多个域将形成双向信任关系。

注意：域之间具有信任关系之后，并不会自动授予某个用户对其他域上所有资源的访问权。一旦建立了信任关系，你就有机会授权给不同域的用户，但实际授权与否取决于你自己——这是一个手动的过程，而不是一个自动的过程。