活动目录

PCI DSS标准有什么要求？ 简单地说，PCI DSS要求最高级别的网络安全性。这一标准如今广泛应用于需要存储、管理、传输客户（或持卡人）个人数据的行业和领域。 施行严格的访问监控措施 为了保证关键数据只能被授权者访问，系统和程序需要从以下方面严格限制访问： 通过部署访问控制如RBAC （基于角色的权限控制） 限制对持卡者的数据访问 或者只允许工作职责中有此项访问需求的个人进行访问 规范访问控制策略，指定享有访问特定数据权限的人员名单 拒绝所有未被授权用户对数据的访问 使用 UserLock （ 保护网络访问 ）和 FileAudit （ 保护文件访问 ），你可以立即识别任何不符合访问策略的访问尝试。 UserLock 能对基于 Windows的网络 和其中所有数据提供保护，依据 自定义的用户访问策略 通过用户登录限制和监控访问。在一个新颖的界面中，你可以轻松制定访问规则，依靠UserLock自动监控用户在何时何地访问了网络里面的资源，访问时长等。 FileAudit 可为Windows环境下的所有 文件服务器 提供保护，通过对所有文件和文件夹的访问（或访问尝试）进行监控、归档并发送报告。不时检查和记录关于读、写、删除访问的信息，以及关于文件所有权变更及修改权限的所有信息。IT人员可以立即发现和跟踪任何不当访问。 为每一个用户提供一个独特的ID

ADDS是微软域基础架构平台，实质上仍然是身份验证系统。 部署域环境简单，难的是管理依赖于域的应用。 域的规划存在多样性，可以根据公司的架构，管理理念选择适合自身的域架构。 微软建议使用单域多站点模式，可以适应大部分企业需求。 域只是一个平台，更重要的是前期规划要方便后期应用，能够支撑更多的服务。 如没有特殊需求，域规划越简单越好，能用单域多站点解决的应用尽量不要使用父子域，能用父子域解决的应用尽量不使用单林多域环境。 部署域的价值：统一用户身份标识，提升企业形象。通过域环境单点登录，降低运维成本。更清晰的组织架构和权限管理。与其他系统做集成。组策略管理。权限委派等。 独立服务器 成员服务器 域控制器（只读域控制器，额外域控制器，域控制器） 如果网络中安装的是第一台域控制器，那么该服务器默认就是林根服务器，也是根域服务器，FSMO操作主机角色默认也是安装到第一台域控制器。 额外域控制器和域控制器之间的平行关系，他们之间的区别在于是否存在FSMO角色。 ADDS服务和普通服务是一样的，在“服务”控制台，可以完成“启动 停止，暂停”操作。 域控制器会被添加到“domain controllers”组织单元中。 域环境中，DNS是基石，网络中的计算机通过DNS定位域控制器。 域 域树 域林 根域 DNS可以解析主机名称和IP地址 域控制器需要将自己注册到DNS服务器中。 建议将DNS

本文章大部分内容来自于 <内网安全攻防：渗透测试实战指南>: https://item.jd.com/12743210.html 0x00 内网基础知识 内网也指局域网(Local Area Network, LAN) , 是指在某一区域内由多台计算机互连而成的计算机组 在局域网中, 可以实现文件管理, 应用软件共享, 打印机共享, 工作组内的日程安排, 电子邮件和传真通信服务器等 工作组 将不同的计算机按功能(或部门)分别列入不同的 工作组(Work Group) 加入/创建工作组的方法 : 右键桌面 计算机 -> 属性 -> 更改设置 -> 更改 , 然后输入计算机名和想要加入的工作组名称即可 如果输入的工作组在网络中不存在, , 就相当于新建了一个工作组 设置完后重启电脑, 进入 网络 就可以看到加入工作组的成员了, 也可以 退出工作组, 修改工作组的名称即可 此时在网络中, 我们可以随时访问别人的共享资源, 别人也可以访问我们的共享资源 所以工作组并不存在真正的集中管理作用, 工作组里的所有计算机都是对等的,也就是没有服务器和客户机之分的。 域 域(Domain) : 一个具有安全边界的计算机集合(安全边界: 在两个域中, 一个域的用户无法访问另一个域中的资源). 用户想要访问域内的资源, 必须以合法的身份登录域, 而用户对域内的资源拥有什么样的权限,

ADHelper 活动目录用户操作类 分类： sharepoint 学习札记 2012-07-02 15:59 659人阅读 评论 (0) 收藏 举报 活动 string user null login using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.DirectoryServices; using System.Runtime.InteropServices; using System.Security.Principal; namespace SystemFrameworks.Helper { /// ///活动目录辅助类。封装一系列活动目录操作相关的方法。 /// public sealed class ADHelper { ///域名 private static string DomainName = "MyDomain"; /// LDAP 地址 private static string LDAPDomain = "DC=MyDomain,DC=local"; /// LDAP绑定路径 private static string ADPath = " LDAP://brooks.mydomain.local "; //

using System; using System.DirectoryServices; namespace SystemFrameworks.Helper { /**/ /// /// 活动目录辅助类。封装一系列活动目录操作相关的方法。 /// public sealed class ADHelper { /**/ /// /// 域名 /// private static string DomainName = " MyDomain " ; /**/ /// /// LDAP 地址 /// private static string LDAPDomain = " DC=MyDomain,DC=local " ; /**/ /// /// LDAP绑定路径 /// private static string ADPath = " LDAP://brooks.mydomain.local " ; /**/ /// /// 登录帐号 /// private static string ADUser = " Administrator " ; /**/ /// /// 登录密码 /// private static string ADPassword = " password " ; /**/ /// /// 扮演类实例 /// private static

using System; using System.DirectoryServices; namespace SystemFrameworks.Helper { /// /// 活动目录辅助类。封装一系列活动目录操作相关的方法。 /// public sealed class ADHelper { /// /// 域名 /// private static string DomainName = "MyDomain"; /// /// LDAP 地址 /// private static string LDAPDomain = "DC=MyDomain,DC=local"; /// /// LDAP 绑定路径 /// private static string ADPath = "LDAP://brooks.mydomain.local"; /// /// 登录帐号 /// private static string ADUser = "Administrator"; /// /// 登录密码 /// private static string ADPassword = "password"; /// /// 扮演类实例 /// private static IdentityImpersonation impersonate = new IdentityImpersonation

<?xml version="1.0" encoding="UTF-8"?> <beans xmlns=" http://www.springframework.org/schema/beans " xmlns:xsi=" http://www.w3.org/2001/XMLSchema-instance " xmlns:p=" http://www.springframework.org/schema/p " xsi:schemaLocation=" http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd "> <bean id="authenticationManager" class="org.jasig.cas.authentication.AuthenticationManagerImpl"> <property name="credentialsToPrincipalResolvers"> <list> <bean class="org.jasig.cas.authentication.principal.UsernamePasswordCredentialsToPrincipalResolver" />

在 Windows Server 2000、2003 和2008 中，管理员使用各种命令行工具和管理控制台管理单元连接到其 Active Directory 域进行管理工作，通常我们习惯于使用MMC界面，但是很多高级管理操作只能在CMD下完成，而CMD下的命令经常成为我们的困惑。并且基于CMD的脚本的编写对于系统管理员要求很高。为了解决这种情况Windows Server 2008 R2 中的 Active Directory 模块合并了一组 cmdlet的Windows PowerShell 模块.通过使用这些cmdlet，可在单一的独立程序包中管理您的 Active Directory 域、Active Directory 轻型目录服务 (AD LDS) 配置集和 Active Directory 数据库装载工具实例。 首先让我们了解一下PowerShell的功能，系统维护、管理中大家常在命令提示符(cmd.exe)下进行操作，对Windows PowerShell可能还是比较陌生。Windows PowerShell将成为CDM的继任者，是下一代命令行工具。Windows PowerShell目前最高版本为2.0，并且已经集成到Windows Server 2008及Windows 7中。Windows PowerShell使得IT管理员更容易地控制系统管理和加速自动化

俄克拉荷马城市公立学校的IT团队负责该片区接近43000个学生的网络管理工作。长期以来，学生和教师员工共享Windows网络登录为他们带来了很多难题。 由于没有 并发登录 的限制，也不能对 网络使用 情况进行准确 跟踪 ，俄克拉荷马城市公立学校的IT团队发现很多学生都使用共同的账号登录，而不是每个人都使用他们的个人账号。这些学生以这种方式来删除或窃取文件（例如家庭作业），或者随意删除起初的文件使共享网络的应用程序被篡改。因此，该团队觉得单靠 Windows网络 的 本地安全控制 是远远不够的，因为它们不能从根本上限制并发登录。 由于系统记录活动是基于用户名登录到系统，所以每一用户名应该有一个对应的个人。当用户的登录名和密码被共享后，系统无法判断对某个文件的访问是来自哪一个人。这就导致用户A在知道用户B的认证信息后，可以使用用户B的认证信息登录进网络，获取用户B的数据，或以用户B的名义发送邮件等。 在经过多方的对比分析下，该IT团队选择了 UserLock 。通过使用UserLock的 登录控制 ，该学区可以 自定义用户登录规范 ，消除并发登录，并使IT使用跟踪和恢复在时间上缩短70%。目前，该学区的网络安全事件大大减少，窃取他人作业或其他个人文件、篡改网络应用程序的发生也大幅减少。 阻止用户共享认证信息需要技术性控制 如今，很多用户都习惯在多个系统的登录中使用同一密码

二、映射网络路径(UPN) 每个用户登陆时，自动映射网络驱动，这个目录只有该用户才能访问，其他用户包括Administrators Groups member也无法访问，主要让用户存放个人数据。 如果这个用户是第一次登陆时，脚本将会为这个用户在 “\\domainName\root\user datas\”路径中创建以用户名命名的目录。 '========================================================================== ' ' VBScript Source File -- Created with SAPIEN Technologies PrimalScript 4.0 ' ' NAME: auto map network directory to local z: driver ' ' AUTHOR: Bona Shen ' DATE : 2006-10-31 ' ' COMMENT: auto map network directory to local z: driver ' '========================================================================== On Error Resume Next dim objNetwork Set