我有这个想法,只是想看看它是否可以实现。
假设我有一台办公室笔记本电脑,没有管理员权限,使用示例域 ASDF
我可以在家里设置另一台 AD 服务器(Microsoft 或 Samba 4),使其具有与我的办公室笔记本电脑相同的域 ASDF。
然后我在自己的 AD 服务器中设置了一个管理用户。
理论上,是否可以用我自己的 AD 来验证我的办公室笔记本电脑?
如果上述操作可行,那么从理论上讲,是否也可以通过此设置获得管理权限?
谢谢。
答案1
假设我理解你的问题意图,即你想要获得你公司笔记本电脑的管理权限而不是公司 AD 域本身的管理权限...
我可以在家里设置另一台 AD 服务器(Microsoft 或 Samba 4),使其具有与我的办公室笔记本电脑相同的域 ASDF。
当然,这是完全可能的。您可以在家里设置一个名为 ASDF 的域……没有人会阻止您。
然后我在自己的 AD 服务器中设置了一个管理用户。
再说一次,当然...您可以在自己的 AD 域上创建任何您想要的 AD 用户。
理论上,是否可以用我自己的 AD 来验证我的办公室笔记本电脑?
是的...如果您有办法将办公室笔记本电脑从现有域中移除,并将其添加到您的家庭 ASDF 域中。这里的问题就是您的“第 22 条军规”。您还没有本地管理员权限,而这是将您自己从域中移除、以本地管理员身份重新启动到工作组,然后将您的计算机添加到新的家庭域所必需的。
如果上述操作可行,那么从理论上讲,是否也可以通过此设置获得管理权限?
当然...但是你的第 22 条军规如上所述。
答案2
不可以。您所描述的方法行不通。域将具有不同的 SID,并且其中不会包含您的计算机帐户的对象。
答案3
不。在域上具有相同的名称并不意味着是同一个域。您在家中设置的恶意域控制器不在域中,并且无法进行任何更改。