域账号与机器账号

域内用户查询

当我们拥有一个域用户权限的账号的，可以通过以下两种方式对域内用户进行枚举

• 通过SAMR 协议查询
• LDAP 查询

SAMR并不是一种协议，而是一个RPC（想知道这个是啥玩意的人儿已经去百度了，说实话我也不太清楚）接口，我们平时使用的net user /domain就是使用samr 进行查询的。

域用户存储于活动目录数据库里面，对其他用户可见。可以通过Ldap 去查询。
过滤语法如下

(&(objectCategory=person)(objectClass=user))

机器用户

默认情况底下，加入域的机器默认在CN=Computer这个容器里面，域控默认在Domain Controllers这个OU里面。有些域内会通过redircmp进行修改

机器用户跟system 用户的关系

考虑到这样一个场景，如果拿到一台域内机器，然后发现没有域内用户。 这个时候有很多人用mimikatz 抓一下，没抓到域用户，就束手无策了。

我们随便点开一台Domain Computer，我们看一下他的对象类

发现他是computer 类的实例。而computer 类的user 类的子类。域用户是user类的实例。之前我们说过类是属性的集合。子类继承了父类的所有属性，因此域用户该有的属性，机器用户都有，甚至我们可以说，机器用户就是一种域用户。
那回到之前的那个问题，如果拿到一台域内机器，然后发现没有域内用户的情况。我们上面说了，机器用户其实就是一个域用户，那我们怎么使用这个机器用户呢。其实本地用户SYSTEM就对应于域内的机器用户，在域内的用户名就是机器名+$,比如win7，他的机器名是WIN7，那他在域内的登录名就是win7$。

所以我们可以将当前用户提到system(非管理员需要配合提权漏洞，管理员组的非administrators需要bypassuac，administrator提到system。这个网上有很多方法，psexec，mimikatz等等)。就可以在域内充当机器用户了。

域用户账户与机器用户的对应关系

如果我们是自己搭建过域环境的话，应该会知道，默认情况底下，域用户是能够登录域内的任何一台机器用户的。我们在这里面探究一下原因。
在域成员机器的本地安全策略里面，默认情况底下，本地用户组允许本地登录。其中包括Users组。

其中Users组包括Domain Users。而域内用户默认都在Domain Users组里面。

因为域用户默认都在Domain Users组里面，而Domain Users在Users组里面。默认情况底下Users组内的成员允许本地登录。所以域内成员默认都能登录域内任何一台机器。

参考

https://daiker.gitbook.io/windows-protocol/ldap-pian/10