0x01 什么是AD DS域 ADDS可以理解为跟DNS,DHCP一样是集成在Windows Server中的一个角色功能,AD DS域是用来管理用户,计算机,组和其他对象的逻辑容器。...创建OU有多个原因:1.可以通过组策略对象(GPO)集中进行管理 2.可以在OU上分配管理权限给其他用户来进行委派。 0x03 泛型容器 OU 和容器之间的主要区别在于管理功能。容器的管理功能有限。...内置容器:存放默认组。 ? 计算机容器:在域中创建的新计算机帐户的默认位置 ? 域控制器:域控机器在的默认组 ?...**外部安全主体容器:**在本地 AD DS 域中添加的本地 AD DS 域外部的域中的受信任对象的默认位置。 托管服务账户容器: 托管服务帐户的默认位置。...AD DS 在托管服务帐户中提供自动密码管理。 用户容器:在域中创建的新用户帐户和组的默认位置。 ? 0x04 组策略 组策略可以控制用户帐户和计算机帐户的工作环境。 ?
点击Users容器,然后在右边框中可对已存在的用户修改属性,可以修改组的属性,也可以右键,然后新建用户。...,也就是对象本身是一些属性的集合 容器与组织单位 容器(Container)与对象相似,它有自己的名称,也是一些属性的集合,不过容器内可以包含其他对象(例如用户、计算机等对象),还可以包含其他容器。...Users容器:Users容器主要用于保存安装Active Driectory时系统自动创建的用户和登录到当前域控制器的所有用户账户。...组织单位的管理 OU的概念:OU是AD中的容器,可在其中存放用户、组、计算机和其他OU,而且可以设置组策略 创建OU:基于部门,如行政部、人事部;基于地理位置,如北京、上海;基于对象,如用户、计算机 删除...:多个GPO设置可以累加或发生冲突被覆盖 策略强制生效:使下级容器强制执行其上级容器的GPO设置 筛选:阻止一个容器内的用户或计算机应用其GPO设置 策略继承与阻止 下级容器默认会继承来自上级容器的GPO
Builtin容器:Builtin容器是Active Driectory默认创建的第一个容器,主要用于保存域中本地安全组。...Computers容器:Computers容器是Active Driectory默认创建的第2个容器,用于存放Windows Server 2008域内所有成员计算机的计算机账号。...Users容器:Users容器主要用于保存安装Active Driectory时系统自动创建的用户和登录到当前域控制器的所有用户账户。...父域与子域之间自动建立起了双向信任关系,域树内的父域与子域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。...子域只能使用父域作为域名的后缀,也就是说在一个域树中,域的名字是连续的。 父域与子域 第一个域称为父域也可以叫根域 ,各分部的域称为该域的子域 。 父域与子域之间默认建立起了双向信任关系。
连接选项 下面这几个是连接选项,也就是在连接的时候指定的参数。如果是在域内机器上执行adfind的话,则不需要连接参数。如果是域外机器执行adfind的话,则需要指定连接参数。...注:本文以后查询条件均是在域内机器查询,故不显示连接参数。 2. [-b basedn] 该选项指定要查询的根节点basedn。...用户相关 下面这几个是与用户相关的查询命令。 (1) 查询域管理员 以下命令是查询域管理员组中含有哪些用户。...(10) 查询users容器下所有对象 如下命令是查询users容器下的所有对象。 AdFind.exe -users -dn 如图所示,可以看到users容器下的所有对象。...组相关 下面这几个是与组相关的查询命令。
什么是消息中间件 消息中间件顾名思义实现的就是在两个系统或两个客户端之间进行消息传送。...什么时候需要用ActiveMQ ActiveMQ常被应用与系统业务的解耦,异步消息的推送,增加系统并发量,提高用户体验。例如以我在工作中的使用,在比较耗时且异步的远程开锁操作时。...发送者和接收者之间在时间上没有依赖性,也就是说当发送者发送了消息之后,不管接收者有没有正在运行,它不会影响到消息被发送到队列。 接收者在成功接收消息之后需向队列应答成功。...每个消息可以有多个消费者 发布者和订阅者之间有时间上的依赖性。针对某个主题(Topic)的订阅者,它必须创建一个订阅者之后,才能消费发布者的消息。 为了消费消息,订阅者必须保持运行的状态。 ...为了缓和这样严格的时间相关性,JMS允许订阅者创建一个可持久化的订阅。这样,即使订阅者没有被激活(运行),它也能接收到发布者的消息。
这是对上一篇文章《SharePoint自动化部署,利用PowerShell 导出/导入AD中的用户》进行补充。开发时,为了测试和演示,我们往往需要经常性的把用户添加到AD中。...首先,需要将人员以.csv格式导出,详见前一篇文章,导出的格式如下所示: ? 接着就是利用PowerShell将用户导入AD指定的Container中,以截图展示,如下所示。....Outputs 用户 Chris 创建成功 用户 Mark 创建成功 用户 Chen 创建成功 用户 Jack 创建成功...用户 Queen 创建成功 用户 King 创建成功 .Example ....$AdContainer="OU=Staff,DC=Kingdom,DC=com" #存储区上,用作上下文的根容器。
(DC:Domain Controller):老大,控制其他成员 2)成员机(之间还是平等的 ) 4、域的部署 1)安装域控制器DC—就生成了域环境 2)安装了活动目录AD(核心)—就生成了域控制器...,会为每一个员工创建一个域账号用来登录,想要访问域资源,必须使用域账号进行登录 注意:在域里面,DC必须与DNS完美搭档,一起配合使用,建议将DC同时设置为DNS(以下实验就是),这时候DNS就不需要再单独创建了...只能在创建该全局组的域上进行添加用户和全局组,可以在域林中的任何域中指派权限,全局组可以嵌套在其他组中。...域本地组(Domain Local Group) 域本地组,多域用户访问单域资源(访问同一个域)。可以从任何域添加用户账户、通用组和全局组,只能在其所在域内指派权限。域本地组不能嵌套于其他组中。...容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。
推论3:容器功能的清晰度是跟其成员之间相关性成正比的 以上推论比较难读懂,所以用一张图来阐述: 当成员之间是相互关联的,很容易找到一个好的名字;当不相关的时候,就变得非常困难。...User这个名字可以单独表示系统用户,也可能是数据库表或者第三方服务凭证。lib/billing/user 与lib/booking/user不同,但仍然是用户。...想象一下,每个容器,如模块,都是一个bucket。在其中,组件被封装,与外界绝缘。你可以自由命名这些类,无需为一些寻常的事物去创建出生僻的名称。...Facebook ::Ad:与上一个相同,除了它具有脸书的具体要求和逻辑。 必应::Ad: 和上面一样....RemoteAdService :: Ad:这是Adwords::Ad,Facebook::Ad,Bing::Ad和其余部分之间的界面。
因此,AD 不是通过物理位置查找资源,而是通过名称查找资源,AD 遵循以下层次结构: 3.1 Forest Forest是一棵或多棵 AD 树的集合,它是层次结构中的顶级容器,并在树之间创建逻辑分离,...3.2 Tree Tree,树是以分层方式连接的一系列域,所有域都使用相同的 DNS 命名空间,它们是同一域树的一部分,并且在父域和子域之间自动创建信任,例如,如果将“wljslmz.cn”添加到名为“...3.3 Domain Domain,域是 AD 中容器和对象的逻辑单元,域包含用户、组、计算机的层次结构,域还包含用于标识域的 DNS 名称、可应用于用户、组和计算机的策略、为域中的资源提供身份验证和授权的安全服务和其他域...四、AD的优点 集中控制和监控:AD 服务为管理员提供了一个中心位置,可以控制几乎所有与用户访问和网络权限相关的事情。...无缝的用户体验:一旦设置了 AD 基础架构并执行了所有权限策略,用户就可以享受流畅的访问,即使使用云服务,AD 也可以确保用户在访问资源时不会出现延迟。
这些漏洞允许未经身份验证的远程攻击者以根用户身份在底层操作系统上执行任意命令。...https://cloudsec.tencent.com/article/4kBWVE 2 Azure AD DS 权限升级漏洞 Azure AD DS 权限升级漏洞使攻击者能够转储在 Azure AD...DS 环境中配置的每个 Azure Active Directory用户的NTLM哈希,并接管 Microsoft 托管企业管理员帐户 ,将用户添加到 Microsoft 托管企业管理员组中。...中发现的三个可被利用并相互关联的高危安全漏洞,这些漏洞可在集群内的 Windows 端点上以提升权限的方式实现远程代码执行。...https://cloudsec.tencent.com/article/3vPgIy 12 了解本地和云网络安全之间的差异 与本地网络安全不同的是,云环境的性质意味着安全和技术团队需要不同的思维方式来理解和管理他们的新攻击面
大部分中小公司都采用工作组的方式对资源进行权限分配和目录共享。相同组中的不同用户通过对方主机的用户名和密码可以查看对方共享的文件夹,默认共享的是 Users 目录。...父域与子域之间自动建立起了双向信任关系,域树内的父域与子域之间不但可以按需要进行相互管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。...如果没有备份 DC,那么一旦 DC 瘫痪了,则域内的其他用户就不能登录该域了,因为活动目录的数据库 (包括用户的账号信息)存储在 DC 中。...[8.png] 逻辑结构 在活动目录中,管理员可以完全忽略被管理对象的具体地理位置,而将这些对象按照一定的方式放置在不同的容器中。...在域树内的所有域共享一个活动目录,这个活动目录内的数据分散地存储在各个域内,且每一个域只存储该域内的数据。
如果获得了这三个组内任意用户的控制权限,就能够继承用户组的WriteDACL权限,WriteDACL权限可以修改域对象的ACL,最终实现利用DCSync导出域内所有用户hash,实现权限提升的目的。...实际应用场景: 通过在BloodHound中搜索“svc-alfresco”用户,我发现实际上该用户属于 Account Operators 组,该组是AD中的特权组之一,该组的成员可以创建和管理该域中的用户和组并为其设置权限...DCsync攻击: 这里就涉及到一个知识点叫AD的复制技术: 域控制器(DC)是Active Directory(AD)域的支柱,用于高效的管理域内用户,所以在企业当中,为了防止DC出现意外导致域内瘫痪...并且其 DRS 的 Microsoft API 是DRSUAPI(这个在后面抓包可以看到)。。在不同域控制器(DC)之间,每 15 分钟都会有一次域数据的同步。...我们都知道,在域内用户所具有的权限其实最根本是看用户的DACL,那么对于DCSync攻击来说,只要域用户拥有以下条DACL即可向域控发出数据同步请求,从而dump去域内用户hash,这两条DACL分别为
DC的本质是一台计算机,AD的本质是提供目录服务的组件 问题: 假如一个公司有200台电脑,我们希望某台电脑上的账户Alan可以访问每台电脑内的资源或者可以在每台电脑上登录。...比如asia.abc.com与Europe.abc.com访问需要建立信任关系 信任关系是连接在域与域之间的桥梁。...域树内的父域与子域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。...为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。 该缓冲区位于企业内部网络和外部网络之间的小网络区域内。...只能在创建该全局组的域上进行添加用户和全局组,可以在域林中的任何域中指派权限,全局组可以嵌套在其他组中。
其中GPP最有用的特性,是在某些场景存储和使用凭据,其中包括: 映射驱动(Drives.xml) 创建本地用户 数据源(DataSources.xml) 打印机配置(Printers.xml) 创建/更新服务...从Windows Vista开始,LGP允许本地组策略管理单个用户和组,并允许使用“GPO Packs”在独立计算机之间备份、导入和导出组策略——组策略容器包含导入策略到目标计算机的所需文件。...NETLOGON目录 挂载点:SYSVOL\domain\SCRIPTS 主要存放的是一些脚本信息,是AD活动目录安装时候自动创建的,是在sysvol下面的一个子目录文件夹 SYSVOL目录 SYSVOL...目录是AD域中的一个共享文件夹,该文件夹在AD活动目录安装时候被创建。...此外,域控机器之间因为要自动同步域数据,SYSVOL文档允许该域内的所有DC机之间进行复制,并且所有的AD用户都可以访问它 在域中,用户登录(计算机)时,会首先在SYSVOL文件查找GPO和启动脚本。
组策略偏好GPP 在2006年,微软收购了桌面标准的“PolicyMaker”,并重新借此与win2008发布了GPP(组策略偏好)。...从Windows Vista开始,LGP允许本地组策略管理单个用户和组,并允许使用“GPO Packs”在独立计算机之间备份、导入和导出组策略——组策略容器包含导入策略到目标计算机的所需文件。...NETLOGON NETLOGON目录 挂载点:SYSVOL\domain\SCRIPTS 主要存放的是一些脚本信息,是AD活动目录安装时候自动创建的,是在sysvol下面的一个子目录文件夹 SYSVOL...目录 SYSVOL目录是AD域中的一个共享文件夹,该文件夹在AD活动目录安装时候被创建。...此外,域控机器之间因为要自动同步域数据,SYSVOL文档允许该域内的所有DC机之间进行复制,并且所有的AD用户都可以访问它 在域中,用户登录(计算机)时,会首先在SYSVOL文件查找GPO和启动脚本。
在QueryUsers的帮助下,我们可以搜索特定用户或所有用户,并返回所有标识用户的所有属性。...QueryUsers的工作机制如下: 1、ADSI是基于COM构建的,因此我们需要使用CoInitialize()函数在程序内初始化COM; 2、我们需要使用ADsOpenObject()对LDAProotDSE...ADsOpenObject()来对Domain容器进行绑定,它将返回IDirectorySearchCOM接口,而该接口可以用来对活动目录进行查询和搜索; 4、在调用FindUsers()函数时,它将基于函数参数和以下字符串构造一个...其主要功能如下: 1、Recon-AD-Domain: 查询域信息(包括域名、GUID、站点名称、密码策略、域控列表等); 2、Recon-AD-Users: 查询用户对象和相应的属性; 3、Recon-AD-Groups...命令输出指定用户的属性信息: 总结 在这篇文章中,我们较少了关于活动目录服务接口(ADSI)的相关内容,并描述了如何将其与C/C++以及Cobalt Strike结合来实现活动目录的枚举。
,这个有点象OOP编程,镜像相当于Class类定义,是一个只读的模板,而容器则是类的运行实例,java中每次new出来的实例,其hashcode必然不同,所以每次启动的docker容器,名称也不一样,只不过与...大意是容器名称mybutun已经被另一个容器(ID为d1c261ad0b1e)占用了,要么把原来的容器删除,要么换个名字。...@,见下面的截图: 这本来是mac 10.5以后做的一项安全改进,有此标识的程序,在首次执行时会提示 但是有这类特殊权限的目录或文件,被挂到容器中后,docker容器内根本看不到,也就是无权读取。...,必须是在~/(即:当前用户的目录)下,类似/opt/www这样的目录,就算给它所有权限,挂到容器中后,也只能看到目录,读不到任何文件,centOS上没这问题。...最后指出一点:目前docker仅支持在run(创建)容器时使用-v创建卷,对于一个已经start的容器,如果想动态添加卷,是十分困难的。
创建账户服务 创建一个名为account-service的SpringBoot项目。 添加相关依赖 在项目pom.xml配置文件内添加相关依赖,如下所示: <!...", "账户"); } } @EnableLoggingClient注解就实例化部分ApiBoot Logging内部所需要的类,将实例放置到Spring IOC容器内。...创建用户服务 我们来创建一个名为user-service的SpringBoot项目。 添加相关依赖 在项目pom.xml配置文件内添加相关依赖,如下所示: <!...", "用户"); } } 实例化RestTemplate对象 在user-service需要访问账户服务获取当前用户的余额,所以我们需要在user-service内实例化RestTemplate...,表示当IOC容器内不存在RestTemplate类型的实例时才会去执行restTemplate()方法创建对象。
Harbor介绍及实践 以Docker为代表的容器技术的出现,改变了传统的交付方式。通过把业务及其依赖的环境打包进Docker镜像,解决了开发环境和生产环境的差异问题,提升了业务交付的效率。...LDAP/AD support: Harbor integrates with existing enterprise LDAP/AD for user authentication and management...如下图,容器镜像管理的参考流程。 ?...两个Harbor实例(除DB外)组件的高可用,两个实例之间需要配置镜像同步复制规则,以实现镜像的备份。两个实例需要共享DB,但同一时刻内只会有一个实例会访问DB。DB由DBA提供高可用方案。...,但新用户需要先去注册,或者由管理员创建后,才可登录,不方便使用。
在Windows7后的操作系统默认存储在C:\Users\%Username%目录下。 • 漫游配置文件: 相较于本地配置文件,漫游配置文件信息被存储在集中式服务器共享上。...漫游配置文件通常与AD域关联,用户在域内计算机上登录时将检查域内针对用户的设置,如用户配置有漫游配置文件,登录成功后则会将漫游配置文件从中央文件服务器复制到本地计算机。...与本地配置文件不同,用户在域内任意一台计算机登录时都可以通过漫游配置文件获取个人设置,其优点在于,用户无需在网络上使用的每台计算机上都创建配置文件。...这样,如果用户在计算机之间漫游,则自定义词典或自定程序属性与配置将会随着用户实现漫游,使用户的自定义程序设置在任意一台域内计算机上登录时都始终可用。 使用频率最高,漫游配置文件必须。...) VDI场景(任意基于AD域) 容器化VHDX 1) 类似于本地配置文件,用户登录/注销速度快2) 基本无需管理,无需考虑排除/同步等,只管使用即可 1) 无限制的存储易造成VHD/VHDX文件过大
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
