内网域渗透基础知识

1.内网简介

内网即局域网(LAN)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。比如内网中的机器，输入ipconfig /all发现我们的ip是192.168…，内网中一号机器是192.168.0.1,二号机器是192.168.0.2，以此类推，但是我们在浏览器中输入 ip.cn 发现都是同一个ip

2.工作组

这是局域网中的一个概念，当我们局域网内的主机太多时，或者需要对用户进行功能分类时，就需要用到工作组。就相当于把我们的文件分类装在不同的文件夹中，一个是学习一个是工作。我们可以右击此电脑的属性，发现可以直接看到我们所处的工作组，其右侧可以进行设置更改。工作组的凭证都是放在本地的。

3.域

域英文叫DOMAIN——域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理，以及相互通信和数据传输。

域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域，每个域都有自己的安全策略，以及它与其他域的安全信任关系。

可以把域和工作组联系起来理解，在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。登陆到域中的时候，身份验证是采用Kerberos协议在域控制器上进行的，登陆到此计算机则是通过SAM来进行NTLM验证的

4.域控制器（DC）

在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

域控是活动目录的存储地方，也就是说活动目录存储在域控制器内。安装了活动目录的计算机就称为域控制器，其实在你第一次安装活动目录的时候，你安装活动目录的那台计算机就成为了域控制器。一个域可以有一台或多台域控制器。最经典的做法是做一个主辅域控

5.域的分类

单域
父域，子域
域树（tree）
域森林（forest）
DNS域名服务器

1.单域
在一般的具有固定地理位置的小公司里，建立一个域就可以满足所需。
一般在一个域内要建立至少两个域服务器，一个作为DC，一个是备份DC。如果没有第二个备份DC，那么一旦DC瘫痪了，则域内的其他用户就不能登陆该域了，因为活动目录的数据库（包括用户的帐号信息）是存储在DC中的。而有一台备份域控制器（BDC），则至少该域还能正常使用，期间把瘫痪的DC恢复了就行了。

2.父域
出于管理及其他一些需求，需要在网络中划分多个域，第一个域称为父域，各分部的域称为该域的子域

如果把不同地理位置的分公司放在同一个域内，那么他们之间信息交互（包括同步，复制等）所花费的时间会比较长，而且占用的带宽也比较大。（因为在同一个域内，信息交互的条目是很多的，而且不压缩；而在域和域之间，信息交互的条目相对较少，而且压缩。

还有一个好处，就是子公司可以通过自己的域来管理自己的资源。

还有一种情况，就是出于安全策略的考虑，因为每个域都有自己独有的安全策略。比如一个公司的财务部门希望能使用特定的安全策略
（包括帐号密码策略等），那么可以将财务部门做成一个子域来单独管理。

3.域树
域树指若干个域通过建立信任关系组成的集合。一个域管理员只能管理本域的内部，不能访问或者管理其他的域，二个域之间相互访问则需要建立信任关系 (Trust Relation)。

信任关系是连接在域与域之间的桥梁。域树内的父域与子域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理，以及相互通信和数据传输。

在一个域树中，父域可以包含很多子域，子域是相对父域来说的，指域名中的每一个段。子域只能使用父域作为域名的后缀，也就是说在
一个域树中，域的名字是连续的

4.域森林
域森林指若干个域树通过建立信任关系组成的集合。可以通过域树之间建立的信任关系来管理和使用整个森林中的资源，从而又保持了原有域自身原有的特性。

5.DNS域名服务器（Domain Name Server）
DNS 域名服务器是进行域名(domain name)和与之相对应的IP地址 (IPaddress)转换的服务器。

在域树的介绍中，可以看到域树中的域的名字和DNS域的名字非常相似，实际上域的名字就是DNS域的名字，因为域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务等。

一般情况下,我们在内网渗透时就通过寻找DNS服务器来定位域控制器，因为通常DNS服务器和域控制器会处在同一台机器上

6.活动目录(AD)

活动目录（Active Directory）简称AD。它基于DNS，以树状结构存储了一个域内有关网络对象（例如用户、用户组、计算机、域、安全策略等等）的信息，其中包含所有域用户和计算机帐户的密码哈希值。它提供基础网络服务（DNS/DHCP等）、计算机管理、用户服务、资源管理、桌面配置、应用系统支撑等功能。

活动目录是微软Windows Server中，负责架构中大型网路环境的集中式目录管理服务（Directory Services）。目录服务在微软平台上从Windows Server 2000开始引入，所以我们可以理解为活动目录是目录服务在微软平台的一种实现方式。当然目录服务在非微软平台上都有相应的实现。

Windows Server 2003的域环境与工作组环境最大的不同是，域内所有的计算机共享一个集中式的目录数据库（又称为活动目录数据库），它包含着整个域内的对象（用户账户、计算机账户、打印机、共享文件等）和安全信息等等，而活动目录负责目录数据库的添加，修改，更新和删除。所以我们要在Windows Server 2003上实现域环境，其实就是要安装活动目录。活动目录为我们实现了目录服务，提供对企业网络环境的集中式管理。比如在域环境中，只需要在活动目录中创建一次Bob账户，那么就可以在任意200台电脑中的一台上登录Bob，如果要为Bob账户更改密码，只需要在活动目录中更改一次就可以了，也就是说域用户信息保存在活动目录中。

ntds.dit是AD中的数据库文件，它被保存在域控制器中c:\windows\system32\ntds\ntds.dit的位置

活动目录的主要功能

帐号集中管理，所有帐号均存在服务器上,方便对帐号的重命令/重置密码。
软件集中管理，统一推送软件，统一安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择安装软件。
环境集中管理，利用AD可以统一客户端桌面,IE,TCP/IP等设置。
增强安全性，统一部署杀毒软件和扫毒任务，集中化管理用户的计算机权限、统一制订用户密码策略等，可监控网络，资料统一管理。
更可靠，更少的宕机时间。如：利用AD控制用户访问权限，利用群集、负载均衡等技术对文件服务器进行容灾设定，更可靠，宕机时间更少。
活动目录为Microsoft统一管理的基础平台，其它isa,exchange,sms等服
务都依赖于这个基础平台

7.AD和DC的区别

如果网络规模较大，我们就会考虑把网络中的众多对象：计算机、用户、用户组、打印机、共享文件等，分门别类、井然有序地放在一个
大仓库中，并做好检索信息，以利于查找、管理和使用这些对象（资源）。这个有层次结构的数据库，就是活动目录数据库，简称AD库。

那么我们应该把这个数据库放在哪台计算机上呢？规定是这样的，我们把存放有活动目录数据库的计算机就称为DC。所以说我们要实现域环境，其实就是要安装AD，当内网中的一台计算机安装了AD后，它就变成了DC

8.逻辑结构

在活动目录中，管理员可以完全忽略被管理对象的具体地理位置，而将这些对象按照一定的方式放置在不同的容器中。由于这种组织对象的做法不考虑被管理对象的具体地理位置，这种组织框架称为“ 逻辑结构 ”。

活动目录的逻辑结构就包括组织单元（ OU ）、域（ domain ）、域树( tree ）、域森林（ forest ）。在域树内的所有域共享一个活动目录，这个活动目录内的数据分散地存储在各个域内，且每一个域只存储该域内的数据

组织单元（OU）是一种容器，它里面可以包含对象（用户账户，计算机账户等），也可以包含其他的组织单元（OU）

域是一种逻辑分组，准确的说是一种环境，域是安全的最小边界。域环境能对网络中的资源集中统一的管理，要想实现域环境，你必须要计算机中安装活动目录。域树是由一组具有连续命名空间的域组成的。

9.安全域划分

安全域划分的目的是将一组安全等级相同的计算机划入同一个网段内，这一网段内的计算机拥有相同的网络边界，在网络边界上采用防火墙部署来实现对其他安全域的NACL（网络访问控制策略），允许哪些IP访问此域、不允许哪些访问此域；允许此域访问哪些IP/网段、不允许访问哪些IP/网段。使得其风险最小化，当发生攻击时可以将威胁最大化的隔离，减少对域内计算机的影响。

在这里插入图片描述

10.DMZ

DMZ称为“隔离区”，也称“非军事化区”。是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与
安全系统之间的缓冲区。

这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服
务器、FTP服务器和论坛等。

另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道
关卡。

DMZ的屏障功能

1.内网可以访问外网
内网的用户需要自由地访问外网。在这一策略中，防火墙需要执行NAT。

2.内网可以访问DMZ
此策略使内网用户可以使用或者管理DMZ中的服务器。

3.外网不能访问内网
这是防火墙的基本策略了，内网中存放的是公司内部数据，显然这些数据是不允许外网的用户进行访问的。如果要访问，就要通过VPN方式来进行。

4.外网可以访问DMZ
DMZ中的服务器需要为外界提供服务，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

5.DMZ不能访问内网
如不执行此策略，则当入侵者攻陷DMZ时，内部网络将不会受保护。

6.DMZ不能访问外网
此条策略也有例外，比如我们的例子中，在DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作

11.SAM

SAM（security account manager 安全账户管理器）SAM是用来存储Windows操作系统密码的数据库文件，为了避免明文密码泄漏，SAM文件中保存的是明文密码经过一系列算法处理过的Hash值，被保存的Hash分为LM Hash、NTLMHash。在用户在本地或远程登陆系统时，会将Hash值与SAM文件中保存的Hash值进行对比。在后期的Windows系统中，SAM文件中被保存的密码Hash都被密钥SYSKEY加密。它存在c:/windows/system32/config/SAM，类似于linux里的/etc/shadow文件。我们可以通过删除/替换 SAM文件，通过PE 免密登录一些老版本系统的管理员账号。

获取Hash方法:

使用mimikatz等工具读取exe进程，获取Hash
net-NTLM Hash可以使用Responder或Inveigh等工具获取

破解Hash:

LM Hash
john –format=lm hash.txt
hashcat -m 3000 -a 3 hash.txt
NTLM Hash
john –format=nt hash.txt
hashcat -m 1000 -a 3 hash.txt
Net-NTLMv1
john –format=netntlm hash.txt
hashcat -m 5500 -a 3 hash.txt
Net-NTLMv2
john –format=netntlmv2 hash.txt
hashcat -m 5600 -a 3 hash.txt

12.Kerberos协议

kerberos 是一种由MIT(麻省理工大学)提出的一种网络身份验证协议，它旨在通过使用加密技术为客户端/服务端应用程序提供强大的认证服务。

kerberos协议中主要由三个角色：

（1）访问服务的client（一下表述为Client或者用户）

（2）提供服务的server（一下表述为服务）

（3）KDC（Key Distribution Center）密钥分发中心

其中KDC服务默认会安装在一个域的域控中，而Client和Server为域内的用户或者是服务，如HTTP服务，SQL服务，远程桌面服务。在kerberos中Client是否有权限访问Server端的服务有KDC发放的票据决定

13.NTLM

在允许的环境下，Kerberos是首选的认证方式。在这之前，Windows主要采用另一种认证协议——NTLM（NT Lan Manager）。NTLM使用在Windows NT和Windows 2000 Server（or later）工作组环境中（Kerberos用在域模式下）。在AD域环境中，如果需要认证Windows NT系统，也必须采用NTLM。较之Kerberos，基于NTLM的认证过程要简单很多。NTLM采用一种质询/应答（Challenge/Response）消息交换模式。

首先，用户通过输入Windows帐号和密码登录客户端主机。在登录之前，客户端会缓存输入密码的哈希值，原始密码会被丢弃（“原始密码在任何情况下都不能被缓存”，这是一条基本的安全准则）。成功登录客户端Windows的用户如果试图访问服务器资源，需要向对方发送一个请求。该请求中包含一个以明文表示的用户名。
服务器接收到请求后，生成一个16位的随机数。这个随机数被称为Challenge或者Nonce。服务器在将该Challenge发送给客户端之前，该Challenge会先被保存起来。Challenge是以明文的形式发送的。
客户端在接收到服务器发回的Challenge后，用在步骤一中保存的密码哈希值对其加密，然后再将加密后的Challenge发送给服务器。
服务器接收到客户端发送回来的加密后的Challenge后，会向DC（Domain）发送针对客户端的验证请求。该请求主要包含以下三方面的内容：客户端用户名；客户端密码哈希值加密的Challenge和原始的Challenge。
DC根据用户名获取该帐号的密码哈希值，对原始的Challenge进行加密。如果加密后的Challenge和服务器发送的一致，则意味着用户拥有正确的密码，验证通过，否则验证失败。DC将验证结果发给服务器，并最终反馈给客户端。

NTLM（New Technologies Lan Manager）HASH，通常是指SAM文件或ntds.dit文件中存储的HASH，生成流程是：16进制编码 ==> unicode编码 ==> MD4加密。

NET-NTLM HASH 是在上面的NTLM认证过程中，从服务器端返回的一个hash值，里面存储了用户名、ip、加密算法，密码hash等。

对NTLM Hash可以通过这些方式获取：

导出SAM文件，配合SYSKEY利用mimikatz等工具获得
改注册表用minikatz读取exe进程获取（2012 r2和8.1及以上版本都禁止明文缓存到内存，而mimikatz是基于内存获取明文密码）
NTLM哈希传递
对NET-NTLM HASH 可通过使用Responder和Inveigh等工具进行中间人攻击，伪造服务器端简历SMB连接获取

14.SMB

SMB(Server Message Block)被称为服务器消息块，又叫网络文件共享系统(CIFS)。在Windows2000中，SMB除了基于NBT实现，还可以直接通过445端口实现。主要作用是使网络上的机器能够共享计算机文件、打印机、串行端口和通讯等资源。

CIFS消息一般使用NetBIOS或TCP协议发送，分别使用不同的端口139或445，当前倾向于使用445端口。

直接运行在 TCP 上 port 445
通过使用 NetBIOS API
- 基于 UDP ports 137, 138 & TCP ports 137, 139
- 基于一些传统协议，例如 NBF

15.IPC

IPC（Inter-Process Communication 进程间通信），用于进程之间的通信。

在NT/2000以后开始使用IPC$（Internet Process Connection），它是为了让进程间通信而开放的命名管道，通过验证账号和密码，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现在远程管理和查看计算机的共享资源。

IPC$(Internet Process Connection)可以被理解为一种“专用管道”，可以在连接双方建立一条安全的通道，实现对远程计算机的访问。Windows NT/2000/XP提供了IPC$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(C$,D$,E$……)和系统目录(ADMIN$)共享。所有这些共享的目的，都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的隐患，我们在cmd命令行中输入 net share 就能查看共享。

我们常说的IPC$漏洞就是IPC的空连接，但是它原本的危害就很小，只能访问 everyone 权限的共享，访问小部分注册表等。而且在2000及之后的版本，更是设置了权限和禁用空连接。

IPC$是基于SMB和NetBIOS,所以使用的端口也是139/445，实际访问哪个端口由是否允许NetBIOS决定。

建立空会话：

net use \\ip\ipc$ "" /user:"" (注：前边引号“”内为空密码，后边user:""引号中为空用户名)

删除IPC$连接：

net use \\192.168.1.101\ipc$ /del

已建立连接后：

查看远程主机的共享资源：

net view \\ip

得到远程主机的 NetBIOS 用户名列表（需要打开自己的 NBT ）：

nbtstat -A ip

将目标C盘映射到本地Z盘：

net use z: \\192.168.1.101\c$

**注意：不管我们是否建立IPC$**成功，都会在日志中留下记录

16.NetBIOS

NETBIOS(网络基本输入输出系统),严格讲不属于网络协议，NETBIOS是应用程序接口(API),早期使用NetBIOS Frames(NBF)协议进行运作,是一种非路由网络协议，位于传输层；后期NetBIOS over TCP/IP（缩写为NBT、NetBT）出现，使之可以连接到TCP/IP，是一种网络协议，位于会话层。基于NETBIOS协议广播获得计算机名称——解析为相应IP地址，WindowsNT以后的所有操作系统上均可用，不支持IPV6

NETBIOS提供三种服务

NetBIOS-NS（名称服务）：为了启动会话和分发数据报，程序需要使用Name Server注册NETBIOS名称，可以告诉其他应用程序提供什么服务，默认监听UDP137端口，也可以使用TCP 137端口。
Datagram distribution service（数据报分发服务）：无连接，负责错误检测和恢复，默认在UDP 138端口。
Session Server（会话服务）：允许两台计算机建立连接，默认在TCP 139端口。

利用NETBIOS发现主机

nbtstat(Windows自带命令)

获取目标主机MAC地址
```
nbtstat -A 192.168.1.1
```

nbtscan

扫描指定网段的主机名和网络开放共享
```
exe 192.168.1.1/24
```

17.WMI

WMI(Windows管理规范)是Windows 2K/XP管理系统的核心；对于其他的Win32操作系统，WMI是一个有用的插件。用户可以使用 WMI 管理本地和远程计算机。它提供了一个访问操作系统构成单元的公共接口。其默认打开的是135端口。

WMI由一系列对Windows Driver Model的扩展组成，它通过仪器组件提供信息和通知，提供了一个操作系统的接口。在渗透测试过程中，攻击者往往使用脚本通过WMI接口完成对Windows操作系统的操作，远程WMI连接通过DCOM进行。例如：WMIC、Invoke-WmiCommand、Invoke-WMIMethod等。另一种方法是使用Windows远程管理（WinRM）

18.Windows Access Token

windows访问令牌，包含了登陆会话的安全信息（比如各种SID）。当用户登陆时，系统创建一个访问令牌，然后以该用户身份运行的的所有进程都拥有该令牌的一个拷贝。该令牌唯一表示该用户、用户的组和用户的特权。有两种令牌：主令牌和模拟的令牌。主令牌是与进程相关的；模拟的令牌是与模拟令牌的线程相关的。当用户注销后，系统将会使主令牌切换为模拟令牌，不会将令牌清除，只有在重启机器后才会清除。

19.SID

SID是安全标识符，是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的 SID。它用来跟踪每个账户，而且永远不会更改，即使我们更改了管理员的名字它也不会变

20.堡垒机

堡垒机是一种针对内部运维人员的运维安全审计系统。它的主要的功能是就是限制登录入口，集中权限账号管理，对不合法命令进行命令阻断，记录运维人员的操作，出事了追责。它和防火墙直观上的区别就是，防火墙是用于外网和DMZ，DMZ和内网之间的，堡垒机是用于运维人员和内网之间的

21.域中计算机分类

域控制器
成员服务器

成员服务器是指安装了 Windows Server 2008操作系统，并加人了域的计算机。这些服务器提供网络资源，也被称为现有域中的附加域控制器。成员服务器通常具有以下类型服务器的功能：文件服务器、应用服务器、数据库服务器、Web服务器、证书服务器、防火墙、远程访问服务器、打印服务器等
独立服务器

独立服务器和域没有什么关系，如果服务器不加人到域中也不安装活动目录，就称为独立服务器。独立服务器可以创建工作组，和网络上的其他计算机共享资源，但不能获得活动目录提供的任何服务
域中的客户端

安装了win xp/2000/2003等操作系统，并加人了域的计算机，用户利用这些计算机和域中的账户，就可以登录到域，成为域中的客户端。域用户账号通过域的安全验证后，即可访问网络中的各种资源

22.域内权限解读

1.域本地组

多域用户访问单域资源（访问同一个域）

可以从任何域添加用户账户、通用组和全局组，但只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限

2.全局组

单域用户访问多域资源（必须是一个域里面的用户）

只能在创建该全局组的域中添加用户和全局组。可以在域森林的任何域内指派权限。全局组可以嵌套在其他组中。

可以将某个全局组添加到同一个域的另一个全局组中，或者添加到其他域的通用组和域本地组中(不能添加到不同域的全局组中，全局组只能在创建它的域中添加用户和组)。虽然可以通过全局组授予用户访问任何域内资源的权限，但一般不直接用它来进行权限管理。

3.全局组和域本地组的关系

与域用户账号和本地账号的关系类似。

域用户账号可以在全局使用，即在本域和其他关系的其他域中都可以使用，而本地账号只能在本机中使用。例如：将用户张三(Z3)添加到域本地组 Administrators 中，并不能使Z3对非DC的域成员计算机拥有任何特权。但若将Z3添加到全局组Domain Admins中，用户张三就成为了域管理员了(可以在全局使用，对域成员计算机拥有特权)

4.通用组

多域用户访问多域资源

通用组的成员可包括域树或域林中任何域的用户账号、全局组和其他通用组，可以在该域森林的任何域中指派权限，可以嵌套在其他组中，非常适合在域森林内的跨域访问中使用。不过，通用组的成员不是保存在各自的域控制器中，而是保存在全局编录(GC)中年的，任何变化都会导致全林复制。

全局编录通常用于存储一些不经常发生变化的信息。由于用户账号信息是经常变化的，建议不要直接将用户账号添加到通用组中，而要先将用户账号添加到全局组中，再把这些相对稳定的全局组添加到通用组中

简单一句话概括：

域本地组：来自全林，作用于本域
全局组：来自本域，作用于全林
通用组：来自全林，作用于全林

5.A-G-DL-P策略

A-G-DL-P策略是指将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

A 表示用户账号(Account)
G 表示全局组(Global Group)
U 表示通用组(Universal Group)
DL 表示域本地组(Domain Local Group)
P 表示资源权限(Permission)

按照A-G-DL-P策略对用户进行组织和管理是非常容易的。在A-G-DL-P策略形成以后，当需要给一个用户添加某个权限时，只要把这个用户添加到某个域本地组中就行了。

6.内置组

在安装域控制器时，系统会自动生成一些组，称为内置组。内置组定义了一些常用的权限。通过将用户添加到内置组中可以使用户获得相应的权限。

活动目录控制台窗口的 Builtin 和 Users 组织单元中的组就是内置组。

内置的域本地组在 Builtin 组织单元中。
内置的全局组合通用组在 Users 组织单元中

23.几个比较重要的域本地组

管理员组(Administrators)：该组的成员可以不受限制地存取计算机/域内的资源。它不仅是最具权利的一个组，也是在活动目录和域控制器中默认具有管理员权限的组。该组的成员可以更改 Enterprise Admins、Schema Admins 和 Domain Admins 组的成员关系，是域森林中年强大的服务管理组。
远程登录组(Remote Desktop Users)：该组的成员具有远程登录权限。
打印机操作员组(Print Operators)：该组的成员可以管理网络打印机，包括建立，管理及删除网络打印机，并可以在本地登录和关闭域控制器。
账号操作员组(Account Operators)：该组的成员可以创建和管理该域中的用户和组并为其设置权限，也可以在本地登录域控制器。但是，不能更改属于Administrators或Domain Admins组的账号，也不能更改这些组。在默认情况下，该组中没有成员。
服务器操作员组(Server Operators)：该组的成员可以管理域服务器，其权限包括建立、管理、删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器、变更服务器的系统时间、关闭域控制器等。在默认情况下，该组中没有成员。
备份操作员组(Backup Operators)：该组的成员可以在域控制器中执行备份和还原操作，并可以在本地登录和关闭域控制器。在默认情况下，该组中没有成员

24.几个比较重要的全局组、通用组的权限

域管理员组(Domain Admins)：该组的成员在所有加入域的服务器、域控制器和活动目录中均默认拥有完整的管理员权限。因为该组会被添加到自己所在域的Administrators组中，因为可以继承Administrators组的所有权限。同时，该组默认会被添加到每台域成员计算机的本地Administrators组中。这样，Domain Admins组就获得了域中所有计算机的所有权。如果希望某用户成为域系统管理员，建议将该用户添加到Domain Admins组中，而不要直接将该用户添加到Administrators组中。
企业系统管理员组(Enterprise Admins)：该组是域森林根域中的一个组。该组在域森林中的每个域内都是Administrators组的成员，因此对所有域控制器都有完全访问权。
域用户组(Domain Users)：该组是所有的域成员，在默认情况下，任何由我们建立的用户账号都属于Domain Users组，而任何由我们建立的计算机账号都属于Domain Computers组。因此，如果想让所有的账号都获得某种资源存取权限，可以将该权限指定给域用户组，或者让域用户组属于具有该权限的组。域用户组默认是内置域Users组的成员。
rs组中。这样，Domain Admins组就获得了域中所有计算机的所有权。如果希望某用户成为域系统管理员，建议将该用户添加到Domain Admins组中，而不要直接将该用户添加到Administrators组中。
企业系统管理员组(Enterprise Admins)：该组是域森林根域中的一个组。该组在域森林中的每个域内都是Administrators组的成员，因此对所有域控制器都有完全访问权。
域用户组(Domain Users)：该组是所有的域成员，在默认情况下，任何由我们建立的用户账号都属于Domain Users组，而任何由我们建立的计算机账号都属于Domain Computers组。因此，如果想让所有的账号都获得某种资源存取权限，可以将该权限指定给域用户组，或者让域用户组属于具有该权限的组。域用户组默认是内置域Users组的成员。
架构管理员组(Schema Admins)：该组是域森林根域中的一个组，可以修改活动目录和域森林的模式。该组是为活动目录和域控制器提供完整权限的域用户组，因此，该组成员的资格是非常重要的。