域環境的搭建(保姆級教程)
- 一、基礎知識
- 二、實驗環境
- 三、實驗步驟
- 1.設定靜態ip地址
- 我們給server 2008 設定靜態ip地址
- 2.安裝活動目錄角色
- 2.1 點擊添加角色
- 2.2 我們單擊下一步:
- 2.3 勾選“Active Directory 域服務”,然后下一步:
- 2.4 單擊“下一步”:
- 2.5 點擊“安裝”,
- 3.安裝向導
- 3.1 打開“服務器管理器”,找到Active Directory安裝向導:
- 3.2 這里我們直接默認下一步
- 3.3 設定“域名”:
- 3.4 點擊下一步會有一個檢查,等待即可,這是為了防止域沖突:
- 3.5 選擇林功能級別:
- 3.6 域控制器選項DNS
- 3.7 重啟后安裝成功
- 4.加入域環境
- 4.1 打開一個windows虛擬機,設定其ip為域控同網段地址
- 4.2 查找系統保護依照下圖順序,填寫自己的域
- 4.3 點擊確定后會讓輸入密碼(這里的密碼為域管理員的密碼)
- 4.4 成功添加域
一、基礎知識
1、組:要介紹域的概念,先介紹一下組的相關概念,
組是用戶的集合,由多個用戶賬戶組成,組名可以看成是組成員共同的名字,引入組的概念就是為了簡化管理,例如,如果要把某個資源授權給一批用戶,或者對一批用戶設定相同的權限,若沒有組,則只能給單個用戶賬戶進行設定授權,但是有了組之后就可以一次性的對組進行授權,實質上也就是給該組的所有用戶同時進行了授權,
很重要的一點:一共用戶可以同時屬于多個組,用戶對某個資源的權限等于它在各組的權限之和,但是如果一旦有個組對某個資源的權限為禁止,那么該用戶將不得訪問該資源,因為禁止是優先的,在一個組中也可以包含其他組或者其他組的成員,
組的特點:計算機的地位都是平等的,每一臺計算機都獨立的維護自己的資源,不需要集中管理網路資源,每一臺計算機都在本地存盤用戶的賬號,本地賬號只能登陸本地計算機,
2、域(Domain):域就是將多臺計算機在邏輯上組織到一起,進行集中管理,也就是創建在域控制器上的組,將組的賬戶資訊保存在活動目錄中,域組可以用來控制域內任何一臺計算機資源的訪問和執行系統任務的權限,
域是組織和存盤資源的核心管理單元,域的核心是域控制器,域控制器的核心是活動目錄,活動目錄實質上相當于一個資料庫,
3、活動目錄:活動目錄是Windows Server平臺下提供的目錄服務,在中央資料庫存放資訊,使用戶在網路上只擁有一個用戶賬號,活動目錄可以管理諸如計算機物件、用戶賬號、列印機之類的網路資源,活動目錄主要包括目錄和目錄相關的服務兩方面,目錄是存盤各種物件的一個物理上的容器;而目錄服務是使目錄中所有資訊和資源發揮作用的服務,活動目錄是一個分布式的目錄服務,資訊可以分散在多個不同的計算機上,保證用戶能夠快速訪問,
二、實驗環境
域環境基礎資訊
Windows server 2008 (主控端)[下方簡稱server2008]
ip地址:192.168.15.100
Windows 7 [下方簡稱win7]
ip地址:192.168.15.101
如若沒有鏡像(iso)檔案的話可以從下方鏈接地址中下載,
鏈接:https://pan.baidu.com/s/1gxH549TV0o5jeuDvEcs_Yw
提取碼:hjzk
三、實驗步驟
1.設定靜態ip地址
我們給server 2008 設定靜態ip地址
設定一個DNS指向本機,因為它后面是一個域控的角色,
2.安裝活動目錄角色
2.1 點擊添加角色
2.2 我們單擊下一步:
下一步條件
必須具備兩點:
Administrator強密碼
配置靜態IP
2.3 勾選“Active Directory 域服務”,然后下一步:
2.4 單擊“下一步”:
這里表明,后續會有安裝DNS服務的程序,所以網上要先安裝DNS的文章會導致域搭建失敗,因為安裝向導會創建一些DNS記錄,以及查找域,
2.5 點擊“安裝”,
一分鐘不到就可以安裝完畢,但是域的搭建還沒有完成,
3.安裝向導
3.1 打開“服務器管理器”,找到Active Directory安裝向導:
點擊“dcpromo.exe”,就可以進入向導:
3.2 這里我們直接默認下一步
在這里點擊下一步時,必須Administrator有密碼,不然可能會出問題,
這里說一下,“Windows NT 4.0兼容的加密演算法”,指的是低版本的SMBv1客戶端,在進行NTLM網路認證的程序中采用的演算法較為簡單,能夠輕易破解;其次,未升級到SMB v2的服務器可能會受到Pass The Hash的技術手段利用、MS17-010等漏洞的危害,為了后續的學習,我們直接選擇下一步,暫時不去做加固,
目前我們只有一個域,所以直接選擇第二項:“在新林中新建域”,在有域的情況下,可以將域納入“林”中,多個域稱之為“林”,
3.3 設定“域名”:
這里必須符合DNS對域名的名稱標準規范,如我就將域名定為:chenxi.region:
3.4 點擊下一步會有一個檢查,等待即可,這是為了防止域沖突:
3.5 選擇林功能級別:
為了保持向下兼容,我們選擇Windows 2003的林功能級別,如果選擇2008的,未來加入的域控制器必須是Windows 2008,
單擊“下一步”,選擇域功能級別,上面已經解釋了,是為了兼容性,我們也選擇2003:
3.6 域控制器選項DNS
單擊下一步,此時進入DNS服務器的安裝程序:
這里是由于在“payloads.online”中沒有委派關系,所以我們自建:
單擊“是”,進入選擇資料庫、日志、SYSOL的存放路徑
默認選擇“下一步”,設定DC管理員(Administrator)密碼:[我設定的是administrator]
單擊“下一步”,可以看到剛才的設定:
這里你也可以匯出設定,用于下次安裝的時候自動配置,單擊“下一步”就可以安裝了,
勾選“重新啟動”,去喝杯茶,回來它就安裝完畢了!
安裝完畢后,會默認使用域內賬戶Administrator登錄:
3.7 重啟后安裝成功
登錄進入后,會彈出“初始化配置任務”視窗,這里有關于本機的資訊:
4.加入域環境
4.1 打開一個windows虛擬機,設定其ip為域控同網段地址
4.2 查找系統保護依照下圖順序,填寫自己的域
4.3 點擊確定后會讓輸入密碼(這里的密碼為域管理員的密碼)
4.4 成功添加域
成功添加后,重啟計算機
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/357028.html
標籤:其他
上一篇:CVE-2019-14287復現
下一篇:內網滲透-隧道技術