Windows域渗透之域管理
Windows域管理
- 一、使用组策略进行软件分发
-
- 1、操作步骤
- 2、PowerShell命令示例
- 二、配置组策略(GPO)设置
-
- 1、设置密码策略
- 2、禁用USB存储设备
- 三、批量用户管理
-
- 1、创建单个用户
- 2、批量导入用户
- 四、部署和管理共享驱动器
-
- 1、使用组策略登录脚本自动映射驱动器
- 2、使用PowerShell映射网络驱动器
- 五、管理Windows更新
-
- 1、使用组策略配置自动更新
- 2、使用PowerShell管理Windows更新
- 六、用户登录脚本和启动项管理
-
- 1、为所有域用户配置登录脚本
管理Windows内部域结构(如Active Directory域环境)涉及多个关键操作,涵盖用户和设备管理、软件分发、组策略定制、网络资源映射等。
一、使用组策略进行软件分发
在域环境中,管理员可以通过组策略(GPO)集中分发和管理软件。组策略分发适用于带有.msi格式的安装包,可以在用户登录或计算机启动时自动安装。
1、操作步骤
- 打开“组策略管理控制台” (
gpmc.msc)。 - 找到适合应用软件的组织单位(OU),右键点击OU,选择“创建并链接GPO到此处”。
- 为新创建的GPO命名(如“软件分发”),然后进入编辑模式。
- 在GPO的“计算机配置”或“用户配置”中,导航到
策略 > 软件设置 > 软件安装。 - 右键点击“软件安装”文件夹,选择“新建 > 包”,选择要分发的
.msi安装包的网络路径(必须是共享路径,如\\Server\Share\Software.msi)。 - 选择部署方式:“分配” 会自动安装软件,而 “发布” 则允许用户自行安装软件。
2、PowerShell命令示例
利用PowerShell可以自动创建GPO和软件安装设置,以下示例用于新建GPO并将其链接到特定的OU:
Import-Module GroupPolicy
# 创建新的GPO
$GPOName = "Software Deployment"
$GPO = New-GPO -Name $GPOName
# 将GPO链接到特定OU
$OUPath = "OU=Workstations,DC=domain,DC=com"
New-GPLink -Name $GPOName -Target $OUPath
通过此GPO,管理员可以指定软件安装包的路径,配置完成后,GPO会按策略分发软件到指定OU中的计算机。
二、配置组策略(GPO)设置
组策略广泛用于配置域内计算机和用户的安全、系统设置和使用限制,典型设置包括密码策略、USB设备禁用、桌面环境管理等。
1、设置密码策略
密码策略可通过组策略控制密码复杂性、最小长度等要求。
- 打开“组策略管理控制台” (
gpmc.msc)。 - 导航至“计算机配置 > 策略 > Windows 设置 > 安全设置 > 帐户策略 > 密码策略”。
- 配置以下设置:
- 最小密码长度:设置为8位以上。
- 密码复杂性要求:启用,确保密码包含字母、数字和特殊字符。
PowerShell命令也可以用于自动化该配置:
# 强制密码最小长度为8位
Set-GPRegistryValue -Name "Password Policy" `
-Key "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" `
-ValueName "MinimumPasswordLength" -Type DWORD -Value 8
2、禁用USB存储设备
禁用USB存储设备可以提高安全性,防止数据泄漏。
- 打开GPO编辑器。
- 进入“计算机配置 > 管理模板 > 系统 > 可移动存储访问”。
- 找到“所有可移动存储类:拒绝所有权限”,将其设置为“已启用”。
三、批量用户管理
PowerShell脚本在批量创建、更新和删除用户方面非常高效,尤其适合初始用户导入或日常用户管理任务。
1、创建单个用户
以下命令创建一个新的域用户,并设置初始密码:
Import-Module ActiveDirectory
New-ADUser -Name "John Doe" `
-GivenName "John" `
-Surname "Doe" `
-SamAccountName "jdoe" `
-UserPrincipalName "[email protected]" `
-Path "OU=Users,DC=domain,DC=com" `
-AccountPassword (ConvertTo-SecureString "Password123!" -AsPlainText -Force) `
-Enabled $true
2、批量导入用户
可以通过CSV文件批量导入用户。CSV文件格式应包含列:Name、GivenName、Surname、Username、Password等。
Import-Module ActiveDirectory
Import-Csv -Path "C:\UsersList.csv" | ForEach-Object {
New-ADUser -Name $_.Name `
-GivenName $_.GivenName `
-Surname $_.Surname `
-SamAccountName $_.Username `
-UserPrincipalName "$($_.Username)@domain.com" `
-Path "OU=Users,DC=domain,DC=com" `
-AccountPassword (ConvertTo-SecureString $_.Password -AsPlainText -Force) `
-Enabled $true
}
四、部署和管理共享驱动器
在域中,使用组策略和PowerShell脚本可以轻松配置网络驱动器,使用户在登录时自动映射指定的共享驱动器。
1、使用组策略登录脚本自动映射驱动器
- 创建一个批处理脚本
MapDrive.bat,内容如下:net use Z: \\ServerName\SharedFolder - 在组策略编辑器中,导航至
用户配置 > Windows 设置 > 脚本 > 登录,将该批处理脚本添加为登录脚本。
2、使用PowerShell映射网络驱动器
在PowerShell中,可以直接使用以下命令为当前用户映射网络驱动器:
New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\ServerName\SharedFolder" -Persist
五、管理Windows更新
Windows更新管理是确保系统安全的重要部分,可以通过组策略或PowerShell脚本实现自动化。
1、使用组策略配置自动更新
- 打开组策略编辑器。
- 导航至“计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 配置自动更新”。
- 将“配置自动更新”设置为“已启用”,并选择合适的自动更新选项(如自动下载并安装更新)。
2、使用PowerShell管理Windows更新
PowerShell脚本也可用于批量检查和安装更新,以下示例展示如何自动安装Windows更新:
Install-WindowsUpdate -AcceptAll -AutoReboot
注意:此命令需要安装PSWindowsUpdate模块。
六、用户登录脚本和启动项管理
在域中,管理员可以通过组策略配置用户登录脚本,以执行常规任务(如网络时间同步、环境变量设置)。
1、为所有域用户配置登录脚本
- 创建批处理脚本
LoginScript.bat,内容如下:echo 欢迎使用公司系统 net time \\timeserver /set /yes - 在组策略中,导航至
用户配置 > Windows 设置 > 脚本 > 登录,将脚本路径指定为“登录脚本”。
这些登录脚本可实现统一的设置和自动化操作,为所有用户提供一致的环境。
以上操作有助于有效管理Windows域内的计算机和用户。通过合理的组策略和脚本配置,可以大幅减少管理工作量,提高域内系统的安全性和一致性。