Windows域环境权限管理详解
Windows域环境权限管理详解
在Windows域环境中,权限管理是一个复杂而重要的议题。本文将详细介绍域内各种用户组的权限关系,以及如何通过提权到SYSTEM账户来查询域内用户等技术细节。
前言
前面一节讲了工作组的权限,今天介绍一下域内权限的相关知识。
域内用户组介绍
当一台计算机加入到域之后,使用域内用户进行登录,域内用户的信息存放在域控制器(DC)上,添加用户或者修改密码等操作都在域控上执行。
管理员组(Administrators):该组成员可以不受限制地存取计算机/域的资源。它不仅是最具权力的一个组,也是在活动目录和域控制器中默认具有管理员权限的组。该组的成员可以更改 Enterprise Admins、Domain admins 组的成员关系,是域森林中强大的服务管理组。
域管理员组(Domain Admins):指定的域管理员具有完全的管理员权限。由于该组会自动成为所在域的 Administrators 组的成员,因此可以继承该组的所有权限。此外,域管理员组通常会被添加到每台域成员计算机的本地 Administrators 组中,从而使得该组能够获得域内所有计算机的完全控制权限。
企业系统管理员组(Enterprise Admins):是域森林或者根域中的一个组。该组在域森林中的每个域内都是 Administrators 组的成员,因此对所有域控制器都有完全访问权。
域用户组(Domain users):中是所有的域成员。在默认情况下,任何由我们建立的用户账号都属于 Domain Users 组,该组在域内机器中存在于 Users 组。
Domain Computers 组:任何由我们建立的计算机账号都属于该组。
机器加入到域之后可以选择使用域内用户登录,也可以使用本地用户登录,但有一些区别:
- 本地用户登录,是存放在本地文件中然后本机进行校验。域内用户登录,是要通过DC的认证之后才能登录,用户信息存放在域控上。
- 本地用户登录主要是对比NTLM HASH值,域认证是通过kerberos认证。
- 机器可以选择本地登录或者域用户登录,本地用户 机器名\用户名,域内用户 域名\用户名
域内最高管理员权限
域内最高管理员权限是 域名\administrator,他没有UAC认证,他也是每个域内机器的本地管理员,和机 器名\administrator 具有相同的权限,SID也是500
域内普通管理员权限和域内普通用户权限
域内普通管理员和域内普通用户权限与工作组中普通管理员和域内普通用户权限差不多,同样有些命令执行不了,因为有UAC,所以这里就不多坐介绍
机器用户和SYSTEM关系
Domain Computers组,任何由我们建立的计算机账号都属于该组,机器账户是指在网络中用于代表计算 机或设备的账户。在Windows域环境中,每台计算机都有一个机器账户,用于在网络中进行身份验证和 授权。机器账户的名称通常以计算机名称或计算机GUID作为前缀,如“ZS-PC$"。机器账户与具体计算机 相关联,用于代表计算机进行域认证和访问域资源
机器用户 是指在Active Directory中为每台计算机创建的帐户。每台加入域的计算机都会在Active Directory中有一个与其相关联的计算机帐户,这些帐户通常以计算机名为基础命名。
SYSTEM 帐户,也叫做 本地系统帐户 ,是Windows操作系统中的一个内建帐户,具有非常高的权限,几乎等同于管理员权限。它是Windows操作系统中的一个特殊帐户,用于运行系统级别的服务和进程。
当我们渗透的电脑加入了域,但是使用本地用户进行登录,我们就可以提权到system用户,然后对域内进行查询。
虽然"System"账户是本地计算机上的特殊账户,而机器账户是域环境中的账户,但在某些情况下,例 如当本地计算机需要访问域资源时,"System"账户可能会充当机器账户的角色。这是因为在域环境中,本地计 算机可以使用"System"账户作为其身份进行域认证和访问授权。
这里举一个简单的例子,用域内用户LS来执行命令net user来查询本地用户
接着执行命令net user /domain 来查询域里有多少用户
接着我们切换到电脑的本地用户,重复上面步骤
查询本地用户没有问题
而查询域内用户时发生错误,那碰到这种情况该怎么办呢
可以切换到system用户查询
这里用到了一个小工具incognito,是用来做令牌窃取的
首先使用命令incognito.exe list_tokens -u列出当前有多少令牌
然后使用system的令牌,使用命令incognito.exe
execute -c "NT AUTHORITY\SYSTEM" cmd
成功提权到system用户,就可以成功查看域内账号了