域用户

查询域用户

1. 通过SAMR协议查询(net user就是通过这种协议查询的)，samr也不是一种专门的协议，是一个RPC接口

在impacket里有个脚本samrdump.py，就是专门调用这个协议去查询的

2. ldap语法查询

(&(objectCategory=person)(objectClass=user))

域用户部分属性介绍

1. 姓 sn
   

2. 名 givenName
   

3. 展示名 displayName 不能用于登录
   

4. 两种登录格式

   1. muxue\lisi -> sAMAccountName
   2. lisi@muxue.com -> UserPrincipalName

   

5. 时间

• whenCreated：账号创建时间
• pwdLastSet：设置密码时间
• Lastlogon：最后登录时间

机器用户

默认，域机器默认在CN=Computer容器，DC在Domain Controllers这个OU里面。

机器用户跟system用户的关系

有些面试会问：拿到一台域机子，但是没有域用户凭证怎么办；看完这个你就明白了

发现他是Computer类的实例，而Computer类继承了user类，域用户是user类的实例；因此域用户该有的属性，计算机用户都有。
本地用户SYSTEM就对应于域内的机器用户，所以我们先把权限提升到system就ok了

查询域内所有机器

通过objectclass=Computer或objectcategory=Computer查找

域控可以通过定位OU来查找

实现上面两种功能的AdFind的快捷操作

域用户与机器用户的关系

域用户默认能登录域内的任何一台域机器

在域机器的本地安全策略里面，默认，本地用户组允许本地登录。其中就有Users组。

但是Users组包含了我们域用户组 所以可以登录

查询域用户能够登录的主机

有些管理员向上面限制了域用户只能登录到某台主机之后，在LDAP里面，会设置一个字段，userWorkStation

我们就可以通过查询这个属性来查找能够登录的主机

Windows协议 LDAP篇 - 域用户和计算机用户