域内用户与机器用户

机器用户

打开ADExplorer查看域内 computer

看到属性computer 是user的子类，继承user类的属性。而域用户是user类的实例。域用户该有的属性，计算用户都有，可以说，机器用户就是一种域用户。

本地用户SYSTEM就对应于域内的机器用户，在域内的用户名就是机器名+$,比如VSAN1这台机器，域内登录名是VSAN1$

所以可以将当前用户提到system,能充当机器用户，即域内用户权限。

查找域内所有机器

AdFind.exe -f "(objectcategory=computer)" -dn

查询dc

AdFind.exe -sc dclist -dn

域用户账户与机器用户的对应关系

在默认情况下域普通用户能登录域内任意普通机器。

限制域内用户登录

登录查看server 08机器，打开本地安全策略—>运行本地登录

默认会将user组配置在里面，运行user组进行登录，user组中就包含了Domain Users。所以域内成员默认都能登录域内任何一台机器。

在域用户做限制

在配置domain user属性——>账户-->登录到 中添加该用户可登录机器

机器做限制

在iis08机器上做限制，打开本地安全策略-> 允许本地登录 将user进行删除，只运行administrator进行登录

查找域内用户能够登录的主机

限制了域用户只能登录到某台主机之后，在LDAP里面，会设置一个字段，userWorkStation。这个字段保存了这个域用户只能登录到某台机器。

我们可以通过读域用户的userWorkStation来查看域用户限制登录到那一台机子。

比如这里的test用户只能登录到iis08机器上。

查看域用户正在登陆的主机

PsLoggedon64.exe \\dc01

查看正在dc01正在登录的域用户给

netsess.exe

netsess.exe \\dc01

PVEFindADUser.exe

PVEFindADUser.exe -current  

可以用于查找活动目录 用户登录位置、枚举用户 、以及查找特定计算机登录用户

、包括本地用户 、通过rdp 登录的用户 、运行服务和计划任务的用户

运行条件： .net 2.0 、管理员权限

-current： 获取计算机当前登录的所有信息

查找域用户登录过的机器

可以拉取windows的登录日志

wevtutil epl Security c:\windows\logs\1.evtx /q:"*[EventData[Data[@Name='LogonType']='3'] and System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 4449183132]]]"

提取日志

LogParser.exe -i:EVT -o:CSV "SELECT TO_UPPERCASE(EXTRACT_TOKEN(Strings,5,'|')) as USERNAME,TO_UPPERCASE(EXTRACT_TOKEN(Strings,18,'|')) as SOURCE_IP FROM 1.evtx" >log.csv

Reference

https://daiker.gitbook.io/windows-protocol/ldap-pian/10