攻击者可以通过多种方式获得 Active Directory 中的域管理员权限。这篇文章旨在描述一些当前使用的比较流行的。...SYSVOL 是 Active Directory 中所有经过身份验证的用户都具有读取权限的域范围共享。...Active Directory 中有几个组大多数人不希望拥有域控制器的默认登录权限。...Account Operators 或 Print Operators 中的帐户,则 Active Directory 域可能会受到破坏,因为这些组具有域控制器的登录权限。...减轻: 限制有权登录到域控制器的组/帐户。 限制具有完整 Active Directory 权限的组/帐户,尤其是服务帐户。
在包括在伪造票证的 SID 历史记录中包含任意 SID 的功能。 SID 历史记录是一项旧功能,可实现跨 Active Directory 信任的回溯。...此功能在 Active Directory 首次发布以支持迁移方案时就已到位。...当用户通过身份验证时,用户所属的每个安全组的 SID 以及用户 SID 历史记录中的任何 SID 都将添加到用户的 Kerberos 票证中。...由于 Mimikatz 通过相对标识符 (RID) 将组成员身份添加到票证中,因此在 Kerberos 票证中将 519(企业管理员)RID 标识为在其中创建它的域的本地(基于 KRBTGT 帐户域)。...在单个域 Active Directory 林中,不存在此限制,因为 Enterprise Admins 组托管在此域中(这是创建黄金票证的地方)。
Microsoft 本地管理员密码解决方案 (LAPS) 概述 Microsoft 本地管理员密码解决方案 ( LAPS )为 Active Directory 中的每台计算机提供自动化的本地管理员帐户管理...LAPS 将每台计算机的本地管理员帐户的密码存储在 Active Directory 中,并以计算机对应 Active Directory 对象的机密属性进行保护。...允许计算机在 Active Directory 中更新自己的密码数据,域管理员可以授予授权用户或组(例如工作站帮助台管理员)读取权限。...然后,允许这样做的用户可以从 Active Directory 中读取密码。符合条件的用户可以请求更改计算机的密码。 LAPS的特点是什么?...笔记: 由于此解决方案旨在自动更改本地管理员密码并保持此信息的私密性,因此需要深思熟虑确定谁应该能够检索一组计算机上的本地管理员密码。 关键是需要仔细设计和部署对密码属性的(读取)访问权限的委派。
LAPS配置通过组策略进行管理,该组策略提供了密码复杂性,密码长度,密码更改的本地帐户名称,密码更改频率等值。当需要本地管理员密码时可直接从AD中读取,当然前提是有权限。...LAPS将每台计算机的本地管理员帐户的密码存储在Active Directory中,并在计算机的相应Active Directory对象的安全属性中进行保护。...允许计算机在Active Directory中更新其自己的密码数据,并且域管理员可以向授权用户或组(如工作站服务台管理员)授予读取权限。...将密码的下一个到期时间报告给Active Directory,并将该属性与计算机帐户的属性一起存储在Active Directory中。 更改管理员帐户的密码。...然后,允许这样做的用户可以从Active Directory中读取密码。合格的用户可以请求更改计算机的密码。 ? LDAPS安装部署 1.安装LAPS.exe组件 ?
基础知识补充 企业管理员:是域森林根域中的企业管理员组成员,该组的成员在域森林中的每一个域内的administrators组的成员,对所有的域控制器具有完全的访问权限。...这些包括身份验证协议,网络登录服务,本地安全机构(LSA)和Active Directory中存储的受信任域对象(TDO)。...TDO密码 信任关系中的两个域共享一个密码该密码存储在Active Directory的TDO对象中。作为帐户维护过程的一部分,信任域控制器每三十天更改一次存储在TDO中的密码。...但是,域B中的用户不能访问域A中的资源。 Active Directory林中的所有域信任都是双向的可传递信任。创建新的子域时,将在新的子域和父域之间自动创建双向传递信任。...去枚举另一个域dc的用户组,sid等。。。
当服务器加入域时,域管理员默认对域内所有机器都具有管理权限,这是因为域的Domain Admins组默认会被添加到域内所有机器的本地Administrators组内。...此组的成员可以访问用户对象的某些属性,如“读取帐户限制”、“读取登录信息”和“读取远程访问信息”。该组的SID恒为S-1-5--553。...包括但不限于如下方式: 图形化创建 如图所示,打开Active Directory用户和计算机,找到域名,右键——>新建(N)——>组。 然后选择组的类型、作用域,填上组名。...包括但不限于如下方式: 图形化删除 如图所示,打开Active Directory用户和计算机,找到要删除的组,右键——>删除(D)即可。 命令行删除 也可以执行如下命令进行删除。...域组的查询 如果想查询域组,该如何操作呢?包括但不限于如下方式: 图形化查询 如图所示,打开Active Directory用户和计算机,找到域名,右键——>查找(I)。
Active Directory默认Kerberos策略设置为10小时(600分钟)。 / renewmax(可选) - 续订最长票据有效期。...,Mimikatz默认值是10年,Active Directory默认Kerberos策略设置为最长为7天 白银票据默认组 域用户SID:S-1-5-21 -513 域管理员...这降低攻击者通过横向扩展,获取域管理员的账户,获得访问域控制器的Active Directory的ntds.dit的权限。...如果可能,请使用组管理的服务帐户,这些帐户具有随机的复杂密码(> 100个字符),并由Active Directory自动管理。...默认情况下,Active Directory中需要预身份验证。但是,可以通过每个用户帐户上的用户帐户控制设置来控制此设置。
V-36432 高的 Domain Admins 组的成员身份必须仅限于仅用于管理 Active Directory 域和域控制器的帐户。 Domain Admins 组是一个高度特权的组。...V-36431 高的 Enterprise Admins 组的成员资格必须仅限于仅用于管理 Active Directory 林的帐户。 Enterprise Admins 组是一个高度特权的组。...作为系统管理员的人员必须仅使用具有权限级别的帐户登录到 Active Directory 系统......未能维护目录数据的当前备份可能会导致难以或不可能从包括硬件故障或恶意损坏在内的事件中恢复。恢复失败... V-36438 中等的 域系统上的本地管理员帐户不得共享相同的密码。...域系统上的本地管理员帐户必须使用唯一密码。如果域系统受到威胁,请为域系统上的本地管理员帐户共享相同的密码...
在DACL中,每个ACE包含以下信息: 安全主体(SID):标识被授权或被拒绝访问权限的用户、组或计算机的唯一标识符。 访问权限:表示特定操作或权限(如读取、写入、执行等)。...DSRM模式时,才可以使用DSRM管理员账号 1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控制器 2:在任何情况下,都可以使用DSRM管理员账号登录域控制器 在Windows...允许本地登录DC AdminSDHolder group AdminSDHolder对象的访问控制列表(ACL)用作将权限复制到Active Directory中的所有“受保护组”及其成员的模板。...受保护组包括特权组,如域管理员、管理员、企业管理员和架构管理员。 默认情况下,此组的ACL被复制到所有“受保护组”中。这样做是为了避免对这些关键组进行有意或意外的更改。.../active-directory-lab-with-hyper-v-and-powershell Hyper-V管理员组对所有Hyper-V功能具有完全访问权限。
该帐户也是默认的本地管理员帐户,在本地管理员组administrators中。该帐户可以完全控制服务器,并根据需要向用户分配用户权限和访问控制权限。...为了安全考虑 ,在高版本的Windows系统中,Windows默认将禁用内置的管理员帐户administrator,并创建作为管理员组administrators成员的另一个本地帐户。...活动目录帐户Active Directory Accounts 活动目录帐户是活动目录中的帐户,活动目录帐户可分为用户帐户、服务帐户和机器帐户。活动目录帐户存储在活动目录数据库中。...服务器在升级为域控后,其本地普通用户将变为域普通用户,其本地管理员组administrators内的用户将升级为域管理员组Domain Admins内的用户,默认本地管理员administrator将升级为域默认管理员...图形化界面新建域用户 域管理员可以打开Active Directory用户和计算机管理框来创建用户。 如图所示,直接在Users容器右键——>新建——>用户即可。
---- 本章重点 域和活动目录的概念 域的逻辑结构 域功能级别和林功能级别 ---- 一.Active Directory与域服务 1.活动目录(Active Directory,AD)概念: 是Windows...通过Active Directory,管理员可以轻松地集中管理和控制网络上的所有资源,确保网络的高可用性、安全性和一致性。...域[Domein)是活动目录的一种实现形式,也是活动目录最核心的管理单位。在域中,可以将一组计算机作为一个管理单位,域管理员可以实现对整个域的管理和控制。...---- 11.SID SID是安全标识符(Security Identifier)的缩写,是Microsoft Windows中用来唯一标识用户、组、计算机等安全主体的一种标识形式。...---- 3.安装域控制器 (1)使用管理员账户(Administator)登录后,在服务器管理器窗口中单击“添加角色和功能” (2)在“服务器角色”界面中,勾选“Active Directory域服务
1 Domain Directory Partition 每一个域各有一个域目录分区(Domain Directory Partition),不同的域有不同的域目录分区,域目录分区包含与本地域相关联的目录对象...,如图所示: 域目录分区的顶级对象 如下表所示,是域目录分区的顶级对象以及这些顶级对象的说明: RDN 说明 CN=Builtin 该容器内置了本地域组的安全组 CN=Computers 机器用户的容器...然后点击Active Directory架构——>添加——>确定,如图所示: 即可看到活动目录中定义的所有类和属性了,如图所示: LDAP中的类和继承 在详细讲架构目录分区之前我们先来讲一下...Schema Directory Partition中的属性 Schema Directory Partition中除了定义了Active Directory中使用的类之外,还定义了Active...objectSid objectSid属性代表该条目SID的值,域管理员administrator的SID默认为域SID+500。
S-1-5-root domain-519Enterprise Admins纯模式域中的通用组,或混合模式域中的全局组该组被授权在 Active Directory中进行森林范围的更改,例如添加子域S-...如果我们要确认登录用户是否是特定已知组的成员,就需要使用AllocateAndInitializeSid函数为已知组构建SID,用于标识本地计算机的管理员组的众多所知SID,然后使用EqualSID函数将...运行 Active Directory 证书服务的计算机是该组的成员。DOMAIN_GROUP_RID_SCHEMA_ADMINS518架构管理员的组。...此组的成员可以修改 Active Directory 架构。DOMAIN_GROUP_RID_ENTERPRISE_ADMINS519企业管理员的组。...此组的成员具有对 Active Directory 林中所有域的完全访问权限。 Enterprise管理员负责林级别的操作,如添加新域或删除新域。
使用组策略首选项配置组策略批量修改用户本地管理员密码 开始 - >管理工具 - >组策略管理 - >在这个域中创建GPO 设置 - 右键 - 编辑 - 用户配置 - 首选项 - 控制面板设置 - 本地用户和组...大多数Active Directory管理员使用用户帐户登录到其工作站,然后使用RunAs(将其管理凭据放置在本地工作站上)或RDP连接到服务器运行Mimikatz读取密码,收集密码尝试登录管理员机器一般只要域管理员登录过的机器抓取都可以获取域控了...DSRM账户是域控的本地管理员账户,并非域的管理员帐户。所以DSRM密码同步之后并不会影响域的管理员帐户。...p=2716 策略对象在持久化及横向渗透中的应用 https://www.anquanke.com/post/id/86531 组策略概述 组策略使管理员能够管理Active Directory中的计算机和用户...这意味着组策略在目标计算机上执行配置的设置。 SYSVOL是所有经过身份验证的用户具有读取权限的Active Directory中的域范围共享。
(图2) 无法登录,甚至使用域管理员,也无法登录,看来必须去远程服务器上增加一个域用户到本地用户组上面去: ?...再次回到远程服务器上,打开Administrators组,发现之前添加的域用户没有添加进去。 重复上面的操作,问题依旧,并且域用户无法添加到本地任何用户组。...将前面的域用户加入 Active Domain Admins组,然后再去远程服务器登录,问题依旧。 ?...SID 的全称是“安全标识符(Security Identify)”,是为域或本地计算机中创建的每个帐户分配的唯一 ID 字符串(例如,S-1-5-21-1454471165-1004336348-1606980848...Active Directory活动目录域中每一个对象也有一个唯一标识,成为GUID。GUID=SID + RID 。活动目录中专门有一个操作主机角色叫RID,就是为域中的每个对象分配一个RID号。
成员已从启用安全性的全局组中删除 4730 已删除启用安全性的全局组 4731 已创建启用安全性的本地组 4732 已将成员添加到启用安全性的本地组 4733 成员已从启用安全性的本地组中删除...4762 成员已从禁用安全性的通用组中删除 4763 已删除安全性已禁用的通用组 4764 组类型已更改 4765 SID历史记录已添加到帐户中 4766 尝试将SID历史记录添加到帐户失败...默认情况下,仅当用户是RemoteDesktop Users组或Administrators组的成员时才允许用户进行连接 4826 加载引导配置数据 4830 SID历史记录已从帐户中删除 4864...Active Directory对象的属性 4935 复制失败开始 4936 复制失败结束 4937 从副本中删除了一个延迟对象 4944 Windows防火墙启动时,以下策略处于活动状态 4945...Directory存储IPsec策略 5458 PAStore引擎在计算机上应用了Active Directory存储IPsec策略的本地缓存副本 5459 PAStore引擎无法在计算机上应用Active
LSADUMP::LSA –要求LSA服务器检索SAM / AD企业(正常,即时修补或注入).用于从域控制器或lsass.dmp转储文件中转储所有Active Directory域凭据.也用于通过参数/.../sids(可选)–设置为AD林中EnterpriseAdmins组的SID([ADRootDomainSID]-519),以欺骗整个AD林中的企业管理员权限(AD林中每个域中的ADadmin)..../sid–域的SID.在此示例中:"S-1-5-21-1473643419-774954089-2222329127"..../rc4 –服务(计算机帐户或用户帐户)的NTLM hash 白银票据默认组: 域用户SID:S-1-5-21 -513 域管理员SID:S-1-5-21 -....不要忘记/sid参数中的域SID.
4732 ----- 已将成员添加到启用安全性的本地组 4733 ----- 成员已从启用安全性的本地组中删除 4734 ----- 已删除已启用安全性的本地组...4745 ----- 已禁用安全性的本地组已更改 4746 ----- 已将成员添加到已禁用安全性的本地组 4747 ----- 已从安全性已禁用的本地组中删除成员...4763 ----- 已删除安全性已禁用的通用组 4764 ----- 组类型已更改 4765 ----- SID历史记录已添加到帐户中 4766...Directory命名上下文的副本 4933 ----- Active Directory命名上下文的副本的同步已结束 4934 ----- 已复制Active Directory...Active Directory存储IPsec策略的本地缓存副本 5459 ----- PAStore引擎无法在计算机上应用Active Directory存储IPsec策略的本地缓存副本
0x04 BloodHound 使用 BloodHound需要来自Active Directory(AD)环境的三条信息才能运行: 哪些用户登录了哪些机器 哪些用户拥有管理员权限 哪些用户和组属于哪些组...HasSession 当用户与计算机时进行会话时,凭据会保留在内存中,可用 LSASS 注入或者凭据转储来获取用户凭据。...AdminTo AdminTo 末端是尖端的本地管理员,本地管理员对这台计算机的管理权限比较大,下面的这个用户组是前一台计算机的本地管理员。...的能力,会忽略DACL权限的限制。 ReadLAPSPassword 读取LAPS上的本地管理员凭证。 ReadGMSAPassword 读取GMSA上的本地管理员凭证。...SQLAdmin 该用户是目标计算机的MSSQL管理员。 HasSIDHistory 用户的SID历史记录,用户在域迁移后,票据还包含着前域所在组的SID,虽然用户不属于前域,但仍拥有前域的权限。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
云直播
对象存储
实时音视频
